Χάκερ Kimsuky παρουσιάζονται ως δημοσιογράφοι για να κλέψουν πληροφορίες
Related Posts
Η βορειοκορεάτικη ομάδα χάκερ Kimsuky (γνωστός και ως APT43) που χρηματοδοτείται από το κράτος, υποδύεται δημοσιογράφους και ακαδημαϊκούς για εκστρατείες spear-phishing για τη συλλογή πληροφοριών από δεξαμενές σκέψης, ερευνητικά κέντρα, ακαδημαϊκά ιδρύματα και διάφορους οργανισμούς μέσων ενημέρωσης.
Η προειδοποίηση προέρχεται από πολλές κυβερνητικές υπηρεσίες στις ΗΠΑ και τη Νότια Κορέα που παρακολουθούν τη δραστηριότητα των χάκερ και ανέλυσαν τις πρόσφατες καμπάνιες και τα θέματα της ομάδας που χρησιμοποιούνται για επιθέσεις.
Μια κοινή συμβουλευτική από το Ομοσπονδιακό Γραφείο Ερευνών (FBI), το Υπουργείο Εξωτερικών των ΗΠΑ, την Υπηρεσία Εθνικής Ασφάλειας (NSA), μαζί με την Εθνική Υπηρεσία Πληροφοριών της Νότιας Κορέας (NIS), την Εθνική Αστυνομική Υπηρεσία (NPA) και το Υπουργείο Εξωτερικών ( MOFA), σημειώνει ότι ο Kimsuky είναι μέρος του Γενικού Γραφείου Αναγνώρισης της Βόρειας Κορέας (RGB).
Γνωστός και ως Thallium and Velvet Chollima, ο Kimsuky έχει διεξάγει εκστρατείες κατασκοπείας μεγάλης κλίμακας υποστηρίζοντας τους εθνικούς στόχους πληροφοριών τουλάχιστον από το 2012.
«Ορισμένες στοχευμένες οντότητες μπορεί να απορρίψουν την απειλή που αποτελούν αυτές οι εκστρατείες κοινωνικής μηχανικής, είτε επειδή δεν αντιλαμβάνονται την έρευνα και τις επικοινωνίες τους ως ευαίσθητες στη φύση τους, είτε επειδή δεν γνωρίζουν πώς αυτές οι προσπάθειες τροφοδοτούν τις ευρύτερες προσπάθειες κυβερνοκατασκοπείας του καθεστώτος.
διαβάζει η συμβουλευτική
.
“Ωστόσο, […] Η Βόρεια Κορέα βασίζεται σε μεγάλο βαθμό σε πληροφορίες που αποκτήθηκαν από συμβιβαστικούς αναλυτές πολιτικής […] (και) οι επιτυχημένοι συμβιβασμοί επιτρέπουν στους ηθοποιούς της Kimsuky να δημιουργήσουν πιο αξιόπιστα και αποτελεσματικά μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) που μπορούν να αξιοποιηθούν έναντι πιο ευαίσθητων στόχων υψηλότερης αξίας».
Spear-phishing ως δημοσιογράφοι
Οι χάκερ Kimsuky σχεδιάζουν και εκτελούν σχολαστικά τις επιθέσεις spear-phishing χρησιμοποιώντας διευθύνσεις email που μοιάζουν πολύ με αυτές πραγματικών ατόμων και δημιουργώντας πειστικό, ρεαλιστικό περιεχόμενο για την επικοινωνία με τον στόχο.
«Για πάνω από μια δεκαετία, οι ηθοποιοί του Kimsuky συνέχισαν να βελτιώνουν τις τεχνικές κοινωνικής μηχανικής τους και να κάνουν τις προσπάθειές τους στο spear-phishing όλο και πιο δύσκολο να διακριθούν», προειδοποιεί η συμβουλή.
Σε πολλές περιπτώσεις, οι χάκερ υποδύονται δημοσιογράφους και συγγραφείς για να ρωτήσουν για τα τρέχοντα πολιτικά γεγονότα στην κορεατική χερσόνησο, το βορειοκορεατικό οπλικό πρόγραμμα, τις συνομιλίες των ΗΠΑ, τη στάση της Κίνας και πολλά άλλα.
Μεταξύ των θεμάτων που παρατηρήθηκαν είναι οι έρευνες, οι προσκλήσεις για συνέντευξη, μια εν εξελίξει έρευνα και αιτήματα για αναφορές ή για έλεγχο εγγράφων.
Τα αρχικά μηνύματα ηλεκτρονικού ταχυδρομείου είναι συνήθως απαλλαγμένα από κακόβουλο λογισμικό ή τυχόν συνημμένα, καθώς ο ρόλος τους είναι να κερδίσουν την εμπιστοσύνη του στόχου αντί να επιτύχουν έναν γρήγορο συμβιβασμό.
Εάν ο στόχος δεν απαντήσει σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, ο Kimsuky επιστρέφει με ένα επόμενο μήνυμα μετά από μερικές ημέρες.
Το FBI λέει ότι παρά τις προσπάθειες του αντιπάλου, τα αγγλικά email μερικές φορές έχουν δομή πρότασης και μπορεί να περιέχουν ολόκληρα αποσπάσματα από προηγούμενη επικοινωνία του θύματος με νόμιμες επαφές, που είχαν κλαπεί.
Χάκερ Kimsuky που παρουσιάζονται ως δημοσιογράφοι και συγγραφείς
πηγή: Κυβέρνηση των ΗΠΑ
Όταν ο στόχος είναι τα νοτιοκορεάτικα, το μήνυμα ηλεκτρονικού ψαρέματος μπορεί να περιέχει μια ξεχωριστή βορειοκορεάτικη διάλεκτο.
Επίσης, οι διευθύνσεις που χρησιμοποιούνται για την αποστολή ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος παραπλανούν τις διευθύνσεις νόμιμων προσώπων ή οντοτήτων. Ωστόσο, περιέχουν πάντα ανεπαίσθητα ορθογραφικά λάθη.
Πώς να σταματήσετε τον Kimsuky
Η συμβουλή παρέχει ένα σύνολο μέτρων μετριασμού, τα οποία περιλαμβάνουν τη χρήση ισχυρών κωδικών πρόσβασης για την προστασία των λογαριασμών και την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Επιπλέον, συνιστάται στους χρήστες να μην ενεργοποιούν τις μακροεντολές σε έγγραφα σε μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από άγνωστα άτομα, ανεξάρτητα από το τι ισχυρίζονται τα μηνύματα.
Η ίδια προσοχή θα πρέπει να δίνεται με έγγραφα που αποστέλλονται από γνωστές υπηρεσίες φιλοξενίας cloud, καθώς η νομιμότητα των πλατφορμών δεν αποτελεί εγγύηση για την ασφάλεια αυτών των αρχείων.
Σε περίπτωση αμφιβολίας σχετικά με ένα μήνυμα που ισχυρίζεται ότι προέρχεται από ομάδα μέσων ενημέρωσης ή δημοσιογράφο, επισκεφτείτε τον επίσημο ιστότοπο αυτού του οργανισμού και επιβεβαιώστε την εγκυρότητα των στοιχείων επικοινωνίας.
Η κοινή συμβουλευτική συνιστά τη διεξαγωγή μιας προκαταρκτικής βιντεοκλήσης ως αποτελεσματική στρατηγική για να διασκορπιστεί οποιαδήποτε αβεβαιότητα πιθανής πλαστοπροσωπίας πριν αποφασίσετε να συμμετάσχετε σε περαιτέρω επικοινωνία.
