Швейцарското ножче на Ким Чен Ун продължава да разпространява пипалата си по света, показвайки, че не се плаши от изследователи.
В световен мащаб интересът към севернокорейската група за усъвършенствани постоянни заплахи Kimsuky (известна още като APT43) и нейните отличителни белези нарасна. Въпреки това групата не показва никакви признаци на забавяне, въпреки вниманието.
Kimsuky е групировка, свързана с правителството на КНДР, чиято основна цел е шпионаж, често (но не само) в областта на политиката и изследванията на ядрените оръжия. Нейните цели обхващат правителствения, енергийния, фармацевтичния и финансовия сектор, както и други сектори, най-вече в държави, които КНДР смята за заклети врагове: Южна Корея, Япония и САЩ.
Kimsuky в никакъв случай не е нова организация – CISA е проследила дейността на групата чак до 2012 г. Интересът към нея достигна своя връх миналия месец благодарение на доклад на фирмата за киберсигурност Mandiant и на кампания, базирана на разширение за Chrome, която доведе до съвместно предупреждение от германските и корейските власти. В блог, публикуван на 20 април, VirusTotal подчерта скока в търсенията на зловреден софтуер, свързани с Kimsuky, както е показано на графиката по-долу.
Много APT са се разпадали под засиления контрол на изследователите и правоприлагащите органи. Но признаците показват, че Kimsuky е непоколебима.
„Обикновено, когато публикуваме прозрения, те казват: „О, уау, ние сме разкрити. Време е да минем под земята“, казва Майкъл Барнхарт, главен анализатор в Mandiant, за типичните APT.
В случая на Kimsuky обаче „никой не се интересува изобщо. Наблюдаваме нулево забавяне.“
Kimsuky е преминал през много итерации и еволюции, включително и през пълно разделение на две подгрупи. Нейните членове са най-практични в spear phishing-а, като се представят за членове на целеви организации във фишинг имейли – често в продължение на седмици – за да се доближат до чувствителната информация, която търсят.
Зловредният софтуер, който те са внедрили през годините, обаче е далеч по-малко предвидим. Те са демонстрирали еднакви възможности със зловредни разширения за браузъри, троянски коне за отдалечен достъп, модулен шпионски софтуер и други, някои от които комерсиални, а други не.
В публикацията в блога VirusTotal подчертава склонността на APT да доставя зловреден софтуер чрез макроси .docx. В няколко случая обаче групата е използвала CVE-2017-0199, уязвимост с висока степен на сериозност 7,8 за произволно изпълнение на код в Windows и Microsoft Office.
С неотдавнашното повишаване на интереса около Kimsuky VirusTotal разкри, че повечето качени проби идват от Южна Корея и Съединените щати. Това съответства на историята и мотивите на групата. Въпреки това тя има своите пипала и в страни, които не биха могли да се свържат веднага със севернокорейската политика, като Италия и Израел.
Например, когато става въпрос за lookups – лица, които проявяват интерес към образците – вторият по обем идва от Турция. „Това може да подсказва, че Турция е или жертва, или проводник на севернокорейски кибератаки“, се казва в публикацията в блога.
Тъй като Kimsuky е насочен към организации от различни държави и сектори, кръгът от организации, които трябва да се притесняват от него, е по-голям от повечето APT-та на национални държави.
„Така че това, което проповядваме навсякъде“, казва Барнхарт, „е сила в числата. С всички тези организации по света е важно всички да говорим помежду си. Важно е да си сътрудничим. Никой не трябва да работи в изолация.“
И, подчертава той, тъй като Kimsuky използва отделни лица като проводници за по-големи атаки, всички трябва да са нащрек. „Важно е всички да имаме това базово ниво: не кликайте върху линкове и използвайте многофакторната си автентикация.“
С прости предпазни мерки срещу spear phishing дори севернокорейските хакери могат да бъдат възпрепятствани. „От това, което виждаме, разбираме, че това наистина работи, ако действително отделите време да спазвате киберхигиената си“, отбелязва Барнхарт.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.