Hackerii nord-coreeni, o nouă tactică pentru a culege informații pentru Phenian: Îi păcălesc pe analiștii străini să scrie articole de opinie pentru ei pentru a afla ce gândesc despre o anumită problemă
Un presupus grup de hackeri care spionează pentru regimul lui Kim Jong Un se foloseşte de o metodă inedită pentru a obţine informaţii: trimite e-mailuri unor experţi, dându-se drept alte persoane, şi le cere opinii sau articole despre probleme care interesează Phenianul, de pildă cum ar reacţiona China în cazul în care Coreea de Nord ar proceda la un test nuclear, relatează Reuters.
Când Daniel DePetris, un analist de politică externă din SUA, a primit în luna octombrie un e-mail de la directoarea think-tank-ului 38 North, care îi comanda un articol, părea să fie un demers absolut obişnuit. Dar nu a fost aşa. Expeditorul era de fapt un presupus spion nord-coreean care căuta informaţii. În loc să îi infecteze calculatorul şi să fure date sensibile, aşa cum fac de obicei hackerii, cel care a trimis mailul părea să încerce altceva: să îi ceară părerea despre probleme de securitate nord-coreene, pretinzând că este directoarea organizaţiei 38 North, Jenny Town.
„Mi-am dat seama că ceva nu era în regulă, după ce am contactat persoana în cauză pentru nişte întrebări suplimentare şi aşa am aflat că, de fapt, nu a existat nicio solicitare de articol şi mai mult, chiar această persoană era, la rândul ei, o ţintă”, a declarat pentru Reuters Daniel DePetris, referindu-se la Jenny Town. „Aşa că mi-am dat seama destul de repede că era o campanie generalizată”, a adăugat DePetris.
E-mailul primit de expert face parte dintr-o campanie nouă, despre care nu s-a ştiut până acum, a unui presupus grup de hackeri nord-coreeni, potrivit experţilor în securitate cibernetică.
CINE ESTE THALLIUM
Grupul de hackeri – între care, printre altele, experţii au identificat numele de cod Thallium şi Kimsuky – foloseşte de mult timp tehnica numită „spear-phishing”, care constă în a trimite un e-mail, aparent în numele unei organizaţii respectabile, şi a păcăli ţintele determinându-le să dea parole sau să facă clic pe ataşamente sau linkuri ce încarcă un program de tip malware. Acum, însă, se pare că hackerii solicită pur şi simplu cercetătorilor sau altor experţi să le ofere opinii sau să scrie articole.
Potrivit e-mailurilor analizate de Reuters, printre temele de interes s-au numărat reacţia Chinei în cazul unui nou test nuclear nord-coreean şi dacă ar putea fi obţinută o abordare mai „tăcută” faţă de „agresiunea” nord-coreană.
„Atacatorii au foarte mult succes cu această metodă foarte, foarte simplă”, a declarat James Elliott de la Microsoft Threat Intelligence Center (MSTIC), care spune că noua tactică a apărut pentru prima dată în ianuarie. „Atacatorii au schimbat complet procesul”, arată expertul. „Atacatorii primesc informaţiile direct de la sursă, dacă vreţi, şi nu trebuie să mai stea să facă interpretări, pentru că le primesc direct de la expert”, a spus Elliott.
MSTIC a identificat „mai mulţi” analişti specializaţi în probleme ce ţin de Coreea de Nord care au furnizat informaţii unui cont al unui prespus atacator cu numele de cod Thallium.
Un raport din 2020 al agenţiilor guvernamentale americane de securitate cibernetică arăta că Thallium activează din 2012 şi că „cel mai probabil este însărcinat de regimul nord-coreean cu o misiune de colectare de informaţii la nivel global”. Thallium a vizat de-a lungul timpului angajaţi guvernamentali, grupuri de reflecţie, academicieni şi organizaţii pentru drepturile omului, potrivit Microsoft.
Hackerii nord-coreeni sunt cunoscuţi pentru atacuri ce le-au adus milioane de dolari, vizând de pildă compania Sony Pictures din cauza un film considerat insultător la adresa liderului Kim Jong Un. Au furat, de asemenea, date de la companii farmaceutice sau din domeniul apărării şi de la guverne străine.
În alte atacuri, Thallium şi alţi hackeri au petrecut săptămâni sau chiar luni pentru a dezvolta o relaţie de încredere cu o ţintă înainte de a-i trimite un software rău intenţionat, a declarat Saher Naumaan, analist principal de informaţii la BAE Systems Applied Intelligence.
O SITUAŢIE SUPRAREALISTĂ
Acum, potrivit Microsoft, grupul se orientează către experţi şi analişti, în unele cazuri fără a mai trimite fişiere sau linkuri maliţioase, chiar dacă victimele răspund. Această tactică poate fi mai rapidă decât spargerea contului cuiva şi parcurgerea e-mailurilor sale. În plus, ocoleşte programele tehnice tradiţionale de securitate ce ar scana şi ar semnaliza un mesaj cu elemente maliţioase. Metoda permite spionilor accesul direct la gândirea experţilor, a explicat Elliott.
„Pentru noi, în calitate de apărători, este foarte, foarte greu să oprim aceste e-mailuri”, a spus el, adăugând că, în cel mai bun caz, destinatarul este capabil să îşi dea seama că ceva nu e în regulă.
Jenny Town a declarat că unele mesaje care pretindeau că provin de la ea au folosit o adresă de e-mail ce se termina cu „.live”, în loc de contul său oficial, care se termină cu „.org”, dar altfel, au copiat întreaga semnătură a acesteia. La un moment dat, a povestit ea, i s-a întâmplat ceva de-a dreptul suprarealist: a fost implicată într-un schimb de e-mailuri în care presupusul atacator, care se dădea drept ea, a inclus-o într-un răspuns.
DePetris, membru al organizaţiei Defense Priorities şi editorialist la mai multe ziare, a declarat că e-mailurile pe care le-a primit erau scrise ca şi cum un cercetător ar fi cerut ajutor pentru prezentarea unei lucrări sau comentarii asupra unui proiect. „Erau destul de sofisticate, cu logo-uri de think tank ataşate la corespondenţă, pentru a face să pară că solicitarea este oficială”, a detaliat el.
La aproximativ trei săptămâni după ce a primit e-mailul falsificat de la 38 North, un alt hacker s-a dat drept el, trimiţând e-mailuri altor persoane pentru a se uita la un proiect, a precizat DePetris. Acel e-mail, pe care DePetris l-a arătat Reuters, oferea 300 de dolari pentru opinia asupra unui draft despre programul nuclear al Coreei de Nord şi cerea recomandări pentru alţi posibili experţi care să facă recenzii.
O TEHNICĂ MAI RAPIDĂ ŞI MAI PRAGMATICĂ DE A CULEGE INFORMAŢII
A te da drept altă persoană este o metodă comună pentru spionii din întreaga lume, dar, pe măsură ce izolarea Coreei de Nord s-a adâncit din cauza sancţiunilor şi a pandemiei, agenţiile de informaţii occidentale cred că Phenianul a devenit extrem de dependent de campaniile cibernetice, a declarat pentru Reuters o sursă de securitate din Seul.
Într-un raport din martie 2022, un grup de experţi care investighează modul în care Coreea de Nord ocoleşte sancţiunile ONU a inclus eforturile lui Thallium printre activităţile ce „constituie spionaj, fiind menite să informeze şi să ajute” la evitarea sancţiunilor de către această ţară.
Jenny Town a declarat că, în unele cazuri, atacatorii au comandat lucrări, iar analiştii au furnizat rapoarte complete sau recenzii ale drafturilor înainte de a realiza ce s-a întâmplat.
DePetris a spus că hackerii l-au întrebat despre chestiuni la care lucra deja, inclusiv despre răspunsul Japoniei la activităţile militare ale Coreei de Nord.
Un alt e-mail, care pretindea a fi de la un reporter de la agenţia de presă Kyodo din Japonia, întreba un membru al echipei 38 North cum crede că războiul din Ucraina a influenţat gândirea Coreei de Nord şi punea întrebări despre politicile SUA, Chinei şi Rusiei.
„Nu putem decât să presupunem că nord-coreenii încearcă să obţină opinii sincere din partea unor analişti pentru a înţelege mai bine politica americană cu privire la Coreea de Nord şi încotro s-ar putea îndrepta”, a conchis DePetris.
sursa: News.ro
Urmărește mai jos producțiile video ale G4Media:
Donează lunar pentru susținerea proiectului G4Media
Donează suma dorită pentru susținerea proiectului G4Media
CONT LEI: RO89RZBR0000060019874867
Deschis la Raiffeisen BankCitește și...
© 2024 G4Media.ro - Toate drepturile rezervate
Acest site foloseşte cookie-uri.
Website găzduit de Presslabs.
2 comentarii