Корейские хакеры атакуют российскую «оборнку» и аэрокосмические компании

Хакерская группировка Kimsuky из Северной Кореи атакует военные и промышленные организации в России, предупреждают компании по кибербезопасности. Об этом сообщает издание «КоммерсантЪ».

Весной хакеры в попытке сбора конфиденциальной информации из аэрокосмических и оборонных компаний использовали тематику пандемии и рассылали мошеннические письма с данными о вакансиях. 

В «Ростехе», чьи структуры тоже могли подвергнуться атакам, подтвердили рост кибератак в последние полгода.

Большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии, однако это могло быть только подготовкой, «прощупыванием почвы» для нанесения более серьезного удара по информационной системе корпорации, полагают в компании. 

Kimsuky известна под именами Velvet Chollima, Black Banshee, и начиная с 2010 года она активно атаковала объекты на территории Южной Кореи, но позже расширила географию атак, говорит руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.

По ее словам, Kimsuky предположительно атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.

Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг (мошеннические рассылки). 

Например, при атаке на турецкого производителя военной техники хакеры даже создали поддельную страницу авторизации в почтовом сервисе Outlook, которым пользовались сотрудники данной компании, чтобы получить их данные для входа в рабочую почту.

Большинство целевых для этой группировки организаций находились в США и Южной Корее, уточняет ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов. 

Среди самых масштабных атак Kimsuky — взлом сети южнокорейского оператора 23 ядерных реакторов в 2014 году, в ходе которого группировка украла конфиденциальные документы и выкладывала их в Twitter-аккаунте «борцов с ядерной энергетикой с Гавайских островов».