Швейцарското  ножче на Ким Чен Ун продължава да разпространява пипалата си по света, показвайки, че не се плаши от изследователи.

В световен мащаб интересът към севернокорейската група за усъвършенствани постоянни заплахи Kimsuky (известна още като APT43) и нейните отличителни белези нарасна. Въпреки това групата не показва никакви признаци на забавяне, въпреки вниманието.

Kimsuky е групировка, свързана с правителството на КНДР, чиято основна цел е шпионаж, често (но не само) в областта на политиката и изследванията на ядрените оръжия. Нейните цели обхващат правителствения, енергийния, фармацевтичния и финансовия сектор, както и други сектори, най-вече в държави, които КНДР смята за заклети врагове: Южна Корея, Япония и САЩ.

Kimsuky в никакъв случай не е нова организация – CISA е проследила дейността на групата чак до 2012 г. Интересът към нея достигна своя връх миналия месец благодарение на доклад на фирмата за киберсигурност Mandiant и на кампания, базирана на разширение за Chrome, която доведе до съвместно предупреждение от германските и корейските власти. В блог, публикуван на 20 април, VirusTotal подчерта скока в търсенията на зловреден софтуер, свързани с Kimsuky, както е показано на графиката по-долу.

Много APT са се разпадали под засиления контрол на изследователите и правоприлагащите органи. Но признаците показват, че Kimsuky е непоколебима.

„Обикновено, когато публикуваме прозрения, те казват: „О, уау, ние сме разкрити. Време е да минем под земята“, казва Майкъл Барнхарт, главен анализатор в Mandiant, за типичните APT.

В случая на Kimsuky обаче „никой не се интересува изобщо. Наблюдаваме нулево забавяне.“

Какво се случва с Kimsuky?

Kimsuky е преминал през много итерации и еволюции, включително и през пълно разделение на две подгрупи. Нейните членове са най-практични в spear phishing-а, като се представят за членове на целеви организации във фишинг имейли – често в продължение на седмици – за да се доближат до чувствителната информация, която търсят.

Зловредният софтуер, който те са внедрили през годините, обаче е далеч по-малко предвидим. Те са демонстрирали еднакви възможности със зловредни разширения за браузъри, троянски коне за отдалечен достъп, модулен шпионски софтуер и други, някои от които комерсиални, а други не.

В публикацията в блога VirusTotal подчертава склонността на APT да доставя зловреден софтуер чрез макроси .docx. В няколко случая обаче групата е използвала CVE-2017-0199, уязвимост с висока степен на сериозност 7,8 за произволно изпълнение на код в Windows и Microsoft Office.

С неотдавнашното повишаване на интереса около Kimsuky VirusTotal разкри, че повечето качени проби идват от Южна Корея и Съединените щати. Това съответства на историята и мотивите на групата. Въпреки това тя има своите пипала и в страни, които не биха могли да се свържат веднага със севернокорейската политика, като Италия и Израел.

Например, когато става въпрос за lookups – лица, които проявяват интерес към образците – вторият по обем идва от Турция. „Това може да подсказва, че Турция е или жертва, или проводник на севернокорейски кибератаки“, се казва в публикацията в блога.

Как да се защитим

Тъй като Kimsuky е насочен към организации от различни държави и сектори, кръгът от организации, които трябва да се притесняват от него, е по-голям от повечето APT-та на национални държави.

„Така че това, което проповядваме навсякъде“, казва Барнхарт, „е сила в числата. С всички тези организации по света е важно всички да говорим помежду си. Важно е да си сътрудничим. Никой не трябва да работи в изолация.“

И, подчертава той, тъй като Kimsuky използва отделни лица като проводници за по-големи атаки, всички трябва да са нащрек. „Важно е всички да имаме това базово ниво: не кликайте върху линкове и използвайте многофакторната си автентикация.“

С прости предпазни мерки срещу spear phishing дори севернокорейските хакери могат да бъдат възпрепятствани. „От това, което виждаме, разбираме, че това наистина работи, ако действително отделите време да спазвате киберхигиената си“, отбелязва Барнхарт.