«Ъ» узнал об атаках хакеров из КНДР на российских дипломатов
Американские эксперты по информационной безопасности обнаружили кибератаки на сотрудников МИД России перед новогодними праздниками, сообщает газета «Коммерсантъ» со ссылкой на исследования американских компаний по кибербезопасности Cluster25 (входит в DuskRise Inc.) и Black Lotus Labs (входит в Lumen Technologies). Предположительно, они совершались северокорейской хакерской группировкой Konni.
По данным Black Lotus Labs, злоумышленники еще в октябре начали фишинговую кампанию: одним дипломатам были разосланы архивы с документами и предлагалось сообщить данные о вакцинации, другим — ссылки на загрузку поддельной «Программы для регистрации привитых в федеральном регистре вакцинированных». В результате была скомпрометирована учетная запись одного из сотрудников внешнеполитического ведомства (mshhlystova@mid.ru). С этого адреса хакеры 20 декабря отправили фишинговое письмо замминистра Сергею Рябкову на адрес SRyabkov@mid.ru (как указано на сайте министерства, он принадлежит секретариату Рябкова), пишет издание.
Кроме того, в Cluster25 рассказали, что еще одно письмо, которое содержало зараженный архив «поздравление.zip», 20 декабря было отправлено посольству России в Индонезии, отправителем значилось якобы диппредставительство в Сербии.
Как пояснила руководитель группы исследования угроз Group-IB Анастасия Тихонова, американские эксперты могли взять примеры писем с сервиса VirusTotal (VT), который анализирует подозрительные файлы. По ее словам, одно из таких писем было размещено там в день атаки, 20 декабря.
Группа Konni (APT37) известна с 2017 года. В своих атаках она использовала, в частности, документы, касающиеся отношений России и КНДР, беря тексты из публичных источников, рассказал руководитель отдела исследования угроз Positive Technologies Денис Кувшинов. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, в свою очередь, сообщил, что Konni может прислать поврежденный pdf-файл: получатель не может его открыть, и злоумышленники под видом ридера отправляют ему зараженную программу.
В ноябре прошлого года газета писала, что атакам другой хакерской группировки — Kimsuky, предположительно из Северной Кореи, подверглись российские ученые, эксперты в области внешней политики и неправительственные организации, которые занимаются вопросами взаимодействия с КНДР. По данным американской компании по кибербезопасности Proofpoint, злоумышленники посылают своим жертвам фишинговые письма от лица известных в России экспертов. В них содержится ссылка, при переходе появляется окно для ввода логина и пароля. Пользователь, по замыслу, должен ввести учетные данные.