Инфобез. Якутия

МИД России подвергся кибератакам Северокорейских хакеров


Американские эксперты по информационной безопасности из Cluster25 и Black Lotus Labs обнаружили атаки северокорейской хакерской группировки Konni на российское министерство иностранных дел.

По данным Black Lotus Labs, в октябре началась фишинговая кампания, нацеленная на сотрудников МИДа: им были разосланы архивы с документами, в которых предлагалось предоставить информацию о статусе вакцинации, или ссылки на загрузку поддельной «Программы для регистрации привитых в федеральном регистре вакцинированных». В результате оказалась скомпрометирована учетная запись одного из сотрудников МИДа, с которой 20 декабря хакеры отправили фишинговое письмо замминистра, курирующему нераспространение и контроль над вооружениями, Сергею Рябкову, написано в исследовании. Этот адрес принадлежит секретариату замминистра, указано на сайте министерства. 

Это продолжение кампании, которая началась в августе: тогда хакеры рассылали зараженные вирусом документы на русском языке по корейской тематике, а в ноябре — письма от имени российских экспертов, которые занимаются вопросами взаимодействия с КНДР

Исследователи могли получить примеры писем с сервиса VirusTotal (VT), который анализирует подозрительные файлы,— туда было загружено письмо хакеров в день атаки 20 декабря, говорит руководитель группы исследования угроз Group-IB Анастасия Тихонова. В результате, пояснила она, индикаторы компрометации стали доступны вендорам по безопасности, что позволило защитить от угрозы другие организации.

У МИДа много документов, интересных любой разведке, полагает глава азиатской программы Московского центра Карнеги Александр Габуев.

Атаки группы Konni (APT37) известны с 2017 года, и группа уже использовала документы, связанные с отношениями России и КНДР, причем тексты брала из публичных источников, отметил руководитель отдела исследования угроз Positive Technologies Денис Кувшинов.


Источник