Північнокорейські хакери видавали себе за журналістів "Голосу Америки", щоб отримати інформацію
Північнокорейські хакери, видаючи себе за журналістів "Голосу Америки" та інших відомих медіа, зверталися до експертів з ядерної безпеки та нерозповсюдження зброї для отримання інформації.
Про це йдеться у звіті американської фірми з кібербезпеки та дочірньої компанії Google – Mandiant, повідомляє Голос Америки.
За словами дослідників, це не поодинокий випадок, коли особи, підозрювані в шпигунстві на Північну Корею, видають себе за репортерів із провідних інформаційних організацій.
Згідно зі звітом Mandiant, онлайн-шпигуни намагалися зібрати розвідувальні дані про позицію міжнародних посадовців щодо уряду Кім Чен Ина в Пхеньяні.
Це остання відома спроба за останні місяці групи кібершпигунства, відомої як APT43, Kimsuky або Thallium, яка видавала себе за журналістів і націлювалася на урядові організації в США і Південній Кореї, а також науковців та аналітиків.
Особи з АРТ43 видавали себе щонайменше за сімох журналістів із п’яти інформаційних організацій, повідомив "Голосу Америки" старший аналітик Mandiant Гері Фріс.
"Ми досягли успіху в зборі конфіденційної інформації, пов’язаної зі справами Корейського півострова, наприклад шахраї розпитували тих, з ким контактували, про настрої Заходу щодо діяльності Північної Кореї, включно з розповсюдженням ядерної зброї та запусками ракет", – сказав Фріс.
В одному електронному листі від 14 жовтня 2022 року, отриманому Mandiant, відправник, видаючи себе за репортера "Голосу Америки", поставив кілька запитань, пов’язаних із програмами випробувань ракет і ядерної зброї Північної Кореї, зокрема: "Чи збільшить Японія оборонний бюджет і активізує оборонну політику?" Одержувача попросили "надіслати відповіді протягом п'яти днів".
"Голосу Америки" "відомо, що зловмисники намагалися видати себе за наших журналістів у спробах отримати інформацію від третіх сторін, зокрема щодо питань розповсюдження ядерної зброї, – сказав Найджел Гіббс, речник "Голосу Америки". – Ми пам’ятаємо про це і особливо ретельно представляємося та повідомляємо про можливих імітаторів".
Mandiant повідомила, що протягом останніх місяців спілкувалась із USAGM (Агентство США з глобальних медіа, незалежне агентство Федерального уряду США) щодо ймовірної операції Північної Кореї з намаганнями видати себе за репортерів "Голосу Америки".
"Довіра між нашими журналістами та їхніми джерелами є обов'язковою, – сказала директорка зі зв'язків із громадськістю USAGM Лорі Мой. – USAGM докладає максимум зусиль, щоб захистити безпеку та цілісність інструментів комунікації наших журналістів. Ми використовуємо низку служб управління репутацією, включно з ідентифікацією підроблених облікових записів у соціальних мережах".
Фальшиві електронні листи нібито від репортерів корейської служби "Голосу Америки" часто надходили науковцям, офіційним особам та іншим особам із проханням про коментар. У деяких випадках одержувачі цих електронних листів зверталися до сеульського бюро "Голосу Америки" й отримували інформацію про те, що запити були неавтентичними.
"Протягом останніх кількох років наша команда була об’єктом різноманітних агресивних спроб фішингу, зокрема видавання себе за іншу особу. Дюжина репортерів з моєї команди, включно зі мною, потрапили під ціль. Наскільки я пам’ятаю, ми повідомляли ІТ-службу агентства або службу безпеки (USAGM), якщо потрібно, про кожен випадок", – сказав керівник корейської служби "Голосу Америки" Дон Хюк Лі.
Раніше, у березні, Mandiant також виявила, що та сама хакерська група розповсюдила вкладення до електронного листа, який, як видається, був надісланий рекрутером для The New York Times.
За даними Агентства з кібербезпеки та безпеки інфраструктури США, група Kimsuky APT, найімовірніше, працює з 2012 року. Згідно з аналітиками розвідки, вона переважно зосереджена на скоєнні фінансово мотивованих кіберзлочинів для підтримування уряду Північної Кореї.
"APT43 надзвичайно переконлива, – сказав Фріс, аналітик Mandiant. – Ми бачили, як APT43 створює електронні адреси, схожі на адреси репортерів новин або аналітиків аналітичних центрів, і одночасно розкручує фальшиві домени, що також видаються схожими на справжні новини, які вони підробляють. Вони додадуть це до своїх електронних підписів. Тож, навіть якщо жертва запідозрить та відвідає домен, розміщений на APT43, він матиме вигляд як справжній новинний сайт".
Help us be even more cool!
