Národný bezpečnostný úrad (NBÚ) vydal varovanie o rastúcom nebezpečenstve kybernetických útokov, ktoré súvisia s hackerskými skupinami podporovanými Severnou Kóreou a využívajú techniky sociálneho inžinierstva. Jednou z najvýraznejších týchto skupín je Kimsuky (APT 43).
Tieto skupiny sa zameriavajú na spearfishingové kampane, pri ktorých sa útočníci vydávajú za novinárov alebo akademických pracovníkov, aby získali informácie a dokumenty týkajúce sa politických udalostí, zahraničnej politiky a diplomatických postojov, ktoré by mohli ohroziť Severnú Kóreu, jej jadrový program a podobne.
Hackerské aktivity skupiny Kimsuky sa vyznačujú nasledovnými charakteristickými znakmi:
- Útočníci si vytvárajú emailové adresy, ktoré imitujú adresy reálnych médií novinárov ako napríklad email s použitím domény „@XYZkoreas.news“, pričom skutočnou doménou je „@XYZnews.com“. Z takto vytvorených emailových adries potom posielajú emaily so škodlivým obsahom.
- Na zaujatie pozornosti svojej obete používajú témy ako napríklad žiadosť o rozhovor, prieskum medzi odborníkmi, žiadosť o recenziu dokumentu, ponuka odmeny za výskumnú činnosť a pod.
- Na zvýšenie dôveryhodnosti preberajú identitu skutočných ľudí – pred kontaktovaním svojho cieľa útočníci kompromitujú e-mailové účty osoby, za ktorú sa vydávajú, zneužijú zoznam kontaktov, resp. predchádzajúce e-mailové komunikácie.
- Prvý email ešte nemusí obsahovať škodlivý softvér, väčšinou je určený iba na získanie si dôvery svojho cieľa. Následne, s odstupom času, posielajú e-mail už so škodlivým obsahom.
- Účet, zariadenie alebo sieť patriacu ich cieľu sa pokúsia infikovať škodlivým kódom vo forme makra vloženého do dokumentu (napr. Microsoft Word). Tento dokument je buď priložený priamo k e-mailu, alebo email obsahuje odkaz na dokument uložený na niektorej platforme pre zdieľanie súborov, ako je napríklad Google Drive alebo Microsoft OneDrive. Škodlivé dokumenty vyžadujú, aby používateľ na zobrazenie dokumentu klikol na „Povoliť makrá“.
- Vytvárajú tiež falošné, ale veľmi realistické verzie skutočných webových stránok alebo mobilných aplikácií pomocou ktorých navádzajú potenciálne obete, aby zadávali či už svoje prístupové údaje alebo iné informácie, o ktoré majú záujem (Kompromitovanie cieľového účtu môže viesť k trvalému prístupu ku komunikácii obete. Útočníci Kimsuky sú tiež známi tým, že konfigurujú e-mailový účet obete tak, aby nepozorovane preposielal všetky e-maily na e-mail kontrolovaný útočníkom).
- Bez ohľadu na jazykové variácie, e-maily útočníkov môžu obsahovať pravopisné chyby alebo zvláštnu vetnú skladbu.
- Útočníci svoje útoky dôkladne pripravujú a neustále zdokonaľujú svoje metódy, ktoré sa tak stávajú čoraz ťažšie rozpoznateľnými.
Naša spoločnosť ponúka zabezpečenie vašich zariadení a sietí, aby ste mohli mať istotu, že sú chránené pred takýmito zraniteľnosťami. Kontaktujte nás a ochránime vaše zariadenia pred hrozbami.
