Analityk spraw międzynarodowych z amerykańskiego think tanku Defense Priorities Daniel DePetris otrzymał w październiku e-mailem zamówienie na artykuł od dyrektorki zajmującego się Koreą Płn. projektu 38 North Jenny Town.
Nowa kampania północnokoreańskiej grupy hakerskiej
Wyglądało to na standardową procedurę, ale taką nie było – relacjonuje Reuters. W rzeczywistości nadawcą e-maila był według ekspertów północnokoreański szpieg, starający się pozyskać informacje.
„Zdałem sobie sprawę, że to nie było prawdziwe, gdy skontaktowałem się z tą osobą (dyrektorką 38 North) z dodatkowym pytaniem i dowiedziałem się, że w rzeczywistości nie było takiego zlecenia, a ta osoba również była celem (…). Więc dość szybko zorientowałem się, że to była szeroka kampania” – powiedział DePetris.
Według specjalistów od cyberbezpieczeństwa i pięciu osób, które znalazły się na celowniku oszustów, opisywany e-mail jest elementem nowej kampanii prowadzonej prawdopodobnie przez północnokoreańską grupę hakerską, określaną m.in. nazwami Thallium i Kimsuky.
Dotychczas grupa rozsyłała e-maile, próbując skłonić ofiary do ujawnienia swoich haseł lub pobrania załączników zawierających złośliwe oprogramowanie. Teraz wydaje się, że po prostu proszą ekspertów o dzielenie się opiniami lub pisanie artykułów – podał Reuters.
Obiecywali pieniądze, ale nie płacili
„Sprawcy ataków osiągnęli spory sukces tą bardzo prostą metodą. Całkowicie zmienili procedurę” – ocenił James Elliott z Centrum Wywiadu ds. Zagrożeń Microsoft (MSTIC), dodając, że ta nowa taktyka jest wykorzystywana od stycznia. MSTIC zidentyfikowało co najmniej kilka przypadków, w których eksperci przekazali informacje hakerom.
Według Elliotta nowa taktyka może przynosić efekty szybciej, niż próba obejścia zabezpieczeń czy włamania się do czyjejś skrzynki pocztowej. „Nam, obrońcom, jest naprawdę trudno powstrzymać te e-maile” – powiedział przedstawiciel MSTIC, podkreślając, że w większości wypadków wykrycie podstępu sprowadza się do czujności ofiary.
Z relacji DePetrisa wynika, że fałszywe e-maile były napisane w sposób wiarygodny. Rzekome zlecenie dotyczyło artykułu na tematy, nad którymi wówczas pracował, w tym odpowiedzi Japonii na działania militarne Korei Północnej. Hakerzy skontaktowali się później z innymi ekspertami, oferując 300 dolarów za recenzję artykułu napisanego rzekomo przez DePetrisa.
„Można tylko przypuszczać, że Koreańczycy z Północy próbują uzyskać szczere opinie od członków think tanków, by lepiej zrozumieć politykę USA wobec ich kraju oraz jej kierunek” – ocenił DePetris, zaznaczając, że w rzeczywistości nie płacili ekspertom za zlecone zadania.
Amerykańskie agencje ds. cyberbezpieczeństwa oceniały w 2020 roku, że grupa Thallium działa od 2012 roku, a ”reżim północnokoreański najprawdopodobniej powierzył jej globalną misję zbierania danych wywiadowczych”. Według Microsoftu w przeszłości grupa atakowała urzędników, think tanki, badaczy i organizacje praw człowieka.
