Исследователи в сфере кибербезопасности утверждают, что им удалось идентифицировать агента, работающего на северокорейскую группировку Kimsuky. Он является гражданином Китая. Источник: NK NEWS
Это потенциально первый известный случай прямого иностранного участия в поддерживаемой государством киберпреступности Пхеньяна.
В отчете, опубликованном на прошлой неделе на конференции по безопасности DEF CON в Лас-Вегасе, двое исследователей заявили, что получили данные с рабочей станции человека, который, по их словам, вероятно, работает на Kimsuky — северокорейский киберпреступный синдикат. Он известен своими атаками на южнокорейскую промышленность, правительство и операторов атомной энергетики, а также на учреждения в России, США и Европе.
В частности, в собранных файлах содержатся доказательства успешных кампаний целевого фишинга и попыток скомпрометировать части правительственной сети Южной Кореи, включая Министерство иностранных дел, Министерство внутренних дел и безопасности и Командование военной контрразведки.
В отчете cyb0rg и Saber сделана оценка, согласно которой человек, которого они окрестили «Ким», вероятно, является членом Kimsuky, судя по инфраструктуре и доменам, которые он использовал, а также по организациям, на которые он нацелился.
На основе этих данных было сделано предположение, что Ким не является гражданином Северной Кореи. По данным cyb0rg и Saber, Ким использует Google для перевода с корейского на упрощённый китайский. Хотя на его компьютере установлены корейские региональные настройки и он работает по корейскому графику, он, по всей видимости, придерживается китайского календаря государственных праздников, который отличается от северокорейского.
Кроме того, среди инструментов и эксплойтов, использованных Кимом, был Bushfire, который подразделение кибербезопасности Google Mandiant приписало UNC5221 — предполагаемому подразделению кибершпионажа, связанному с Китаем.
По словам авторов, это, наряду с целями Тайваня, позволяет предположить, что Ким работает в поддержку целей как Северной Кореи, так и Китая.
Одна из версий заключается в том, что представители КНДР могут прибегать к внешней помощи для шпионажа, например, к китайским кибернаёмникам. Кроме того, Kimsuky может быть китайской группировкой, действующей из Северной Кореи.
Ссылаясь на инструкции на китайском языке для инструмента эксплойта, установили, что также нельзя исключать возможность объединения усилий поддерживаемых государством группировок Северной Кореи и Китая.
Напомним, ранее сообшалось, что Северная Корея создает новую хакерскую группу для атак на Запад.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet