Группа северокорейских хакеров, известная под обозначением TA406, начала масштабную шпионскую кампанию против украинских правительственных структур. По данным исследователей в сфере кибербезопасности, атаки направлены на получение разведданных о ходе войны России против Украины. Источник: The Record
Эксперты считают, что Пхеньян таким образом пытается собрать информацию, которая поможет ему понять, насколько решительно Киев намерен продолжать сопротивление, а также оценить перспективы конфликта в среднесрочной перспективе.
TA406 — это группа, действующая в интересах северокорейского государства. Она давно известна своими фишинговыми атаками на правительства, исследовательские институты, аналитические центры, университеты и медиаорганизации в разных странах, включая Россию, Японию, Южную Корею, США и государства Европы. Ранее основным объектом интереса группы была Россия, где хакеры пытались добывать стратегически важную информацию. Теперь же акцент сместился на Украину.
Компания Proofpoint, занимающаяся кибербезопасностью, сообщает, что с конца 2024 года Северная Корея начала перебрасывать свои войска в помощь российским силам на украинской территории. Полученные в ходе кибершпионажа данные, вероятно, используются для оценки угроз, с которыми могут столкнуться северокорейские военные, и для определения степени необходимости дальнейшей поддержки Москвы.
Группа TA406, также известная как Opal Sleet и Konni, применяет в своих атаках разнообразные методы. В частности, хакеры выдают себя за представителей аналитических центров и рассылают фишинговые письма, в которых содержится вредоносная информация, связанная с актуальными событиями украинской внутренней политики. Один из примеров — операция, проведённая в феврале 2025 года, когда злоумышленники действовали от имени несуществующего старшего научного сотрудника Королевского института стратегических исследований. В письме содержалась ссылка на файл в облачном хранилище, который открывал доступ к зашифрованному архиву. При его запуске происходило заражение системы через PowerShell. Это позволяло хакерам собирать техническую информацию о компьютере жертвы: IP-адрес, список файлов, характеристики диска и наличие антивирусного ПО.
Ранее TA406 также пыталась получить доступ к учетным данным украинских чиновников, рассылая поддельные уведомления безопасности от имени Microsoft с использованием почтовых аккаунтов Protonmail. Эти письма якобы предупреждали о подозрительной активности при входе в аккаунт и побуждали жертв подтвердить свои действия. Хотя оригинальный сайт для сбора данных не сохранился, методы, примененные в этой атаке, соответствуют известной тактике TA406.
Отмечается, что украинские специалисты по кибербезопасности редко публично комментируют действия северокорейских хакеров. Как правило, подобные атаки приписываются российским кибергруппам. На момент публикации представители украинской группы CERT-UA не дали комментариев изданию Recorded Future News по поводу этой кампании TA406.
Согласно данным Proofpoint, северокорейские хакеры в Украине ориентируются на политическую и стратегическую разведку, в отличие от российских хакеров, которые чаще сосредотачиваются на тактической информации, напрямую связанной с ведением боевых действий. Это указывает на разную природу задач, которые решают союзники России в киберпространстве.
Напомним, Северная Корея официально вступила в войну против Украины, подтвердив отправку своих войск в Россию.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet