Что ищут северокорейские хакеры на российских серверах

Хакерские атаки из Северной Кореи все чаще направлены на Россию, предупреждают компании по кибербезопасности. В каких сферах ведется шпионаж и кому стоит быть внимательнее при проверке почты, выясняла Общественная служба новостей.

Кто нападает

Весной северокорейская хакерская группировка Kimsuky воспользовалась пандемией и проводила вредоносные рассылки для получения конфиденциальной информации из аэрокосмических и оборонных компаний, сообщает «Коммерсантъ».  Группировка Kimsuky — «коллеги» северокорейской Lazarus по кибершпионажу.

Первые случаи целевых атак Lazarus на Россию появились еще в начале 2019 года, сообщает руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников. Он отметил, что за теми атаками последовало затишье, но в 2020 году зафиксировали сразу несколько волн атак от разных ответвлений этой группы.

Как действуют

«РТ-Информ», дочерняя компания госкорпорации «Ростех», которая занимается информационной безопасностью, отметила увеличение количества инцидентов и кибератак на информационные ресурсы корпорации и ее организаций в период с апреля по сентябрь. По их словам, большинство атак были некачественно подготовлены и не несли существенной угрозы при их воздействии. При этом специалисты не исключают, что это могло быть только подготовкой, «прощупыванием почвы» для нанесения более серьезного удара по информационной системе корпорации.

Судя по доступным в интернете документам, в атаках использовался целенаправленный фишинг — мошеннические рассылки. Некоторые документы-приманки стали содержать данные о вакансиях в аэрокосмической и оборонной отраслях, что позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

Lazarus атакует через приложения для трейдеров криптовалют —  это позволяет им красть информацию для доступа к кошелькам и биржам, а также собирать промышленные данные.

На кого нападают

Если раньше подобные группировки занимались кибершпионажем, связанным с политикой, или коммерческими проектами, то сейчас добавились новые цели, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.

Скорее всего, основной интерес для них представляют военно-космическая сфера, энергетика и IT. Это можно объяснить желанием перепродать данные в дарквебе, полагают специалисты.

Пока что похищенные промышленные сведения не всплывали в «хакерском андерграунде». Если они так и не будут выставлены на продажу, значит интерес у хакеров был все же не коммерческий, уточняет технический директор Trend Micro в России и СНГ Михаил Кондрашин. Возможно, перед группировкой стоит задача по сбору интеллектуальной собственности и данных в разных странах. Специалисты предполагают, что хакеры начали целевые атаки на Россию, так как у них появились ресурсы для анализа информации на русском языке.

Так, Lazarus — одна из политически мотивированных группировок, подчеркивает глава направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Она поддерживается властями Северной Кореи и необходима этому государству: киберпреступления совершаются для получения средств для разработки вооружений, покупки топлива и других ресурсов.