Grupul de hackeri, pe care cercetătorii l-au numit Thallium sau Kimsuky, printre alte nume, a folosit de mult timp e-mailuri de tip „spear-phishing” care conving țintele să le dea parolele sau să facă clic pe atașamente sau pe link-uri care încarcă malware. Dar acum, se pare că hackerii solicită pur şi simplu cercetătorilor să le ofere opinii despre anumite subiecte sau să le scrie articole.
Un presupus grup de hackeri care spionează pentru regimul lui Kim Jong Un se foloseşte de o metodă inedită pentru a obţine informaţii: trimite e-mailuri unor experţi, dându-se drept alte persoane, şi le cere opinii sau articole despre probleme care interesează Phenianul, de pildă cum ar reacţiona China în cazul în care Coreea de Nord ar proceda la un test nuclear.
Atunci când Daniel DePetris, un analist de politică externă din SUA, a primit în luna octombrie un e-mail de la directoarea think-tank-ului 38 North, care îi comanda un articol, părea să fie un demers absolut obişnuit. Dar nu a fost aşa. Expeditorul era de fapt un presupus spion nord-coreean care căuta informaţii. În loc să îi infecteze calculatorul şi să fure date sensibile, aşa cum fac de obicei hackerii, cel care a trimis mailul părea să încerce altceva: să îi ceară părerea despre probleme de securitate nord-coreene, pretinzând că este directoarea organizaţiei 38 North, Jenny Town.
Spionii nord-coreeni îi păcălesc pe experți străini
„Mi-am dat seama că ceva nu era în regulă, după ce am contactat persoana în cauză pentru nişte întrebări suplimentare şi aşa am aflat că, de fapt, nu a existat nicio solicitare de articol şi mai mult, chiar această persoană era, la rândul ei, o ţintă”, a declarat Daniel DePetris, referindu-se la Jenny Town. „Aşa că mi-am dat seama destul de repede că era o campanie generalizată”, a adăugat DePetris.
E-mailul primit de expert face parte dintr-o campanie nouă, despre care nu s-a ştiut până acum, a unui presupus grup de hackeri nord-coreeni, potrivit experţilor în securitate cibernetică.
Grupul de hackeri - între care, printre altele, experţii au identificat numele de cod Thallium şi Kimsuky - foloseşte de mult timp tehnica numită "spear-phishing”, care constă în a trimite un e-mail, aparent în numele unei organizaţii respectabile, şi a păcăli ţintele determinându-le să dea parole sau să facă clic pe ataşamente sau linkuri ce încarcă un program de tip malware. Acum, însă, se pare că hackerii solicită pur şi simplu cercetătorilor sau altor experţi să le ofere opinii sau să scrie articole.
„Atacatorii au succes cu această metodă foarte, foarte simplă”
Potrivit e-mailurilor analizate de Reuters, printre temele de interes s-au numărat reacţia Chinei în cazul unui nou test nuclear nord-coreean şi dacă ar putea fi obţinută o abordare mai tăcută faţă de „agresiunea” nord-coreană.
„Atacatorii au foarte mult succes cu această metodă foarte, foarte simplă”, a declarat James Elliott de la Microsoft Threat Intelligence Center (MSTIC), care spune că noua tactică a apărut pentru prima dată în ianuarie. „Atacatorii au schimbat complet procesul”, arată expertul. „Atacatorii primesc informaţiile direct de la sursă, dacă vreţi, şi nu trebuie să mai stea să facă interpretări, pentru că le primesc direct de la expert”, a spus Elliott.
MSTIC a identificat mai mulţi analişti specializaţi în probleme ce ţin de Coreea de Nord care au furnizat informaţii unui cont al unui prespus atacator cu numele de cod Thallium.
Un raport din 2020 al agenţiilor guvernamentale americane de securitate cibernetică arăta că Thallium activează din 2012 şi că „cel mai probabil este însărcinat de regimul nord-coreean cu o misiune de colectare de informaţii la nivel global”. Thallium a vizat de-a lungul timpului angajaţi guvernamentali, grupuri de reflecţie, academicieni şi organizaţii pentru drepturile omului, potrivit Microsoft.
Hackerii folosesc tactici noi
Hackerii nord-coreeni sunt cunoscuţi pentru atacuri ce le-au adus milioane de dolari, vizând de pildă compania Sony Pictures din cauza un film considerat insultător la adresa liderului Kim Jong Un. Au furat, de asemenea, date de la companii farmaceutice sau din domeniul apărării şi de la guverne străine.
În alte atacuri, Thallium şi alţi hackeri au petrecut săptămâni sau chiar luni pentru a dezvolta o relaţie de încredere cu o ţintă înainte de a-i trimite un software rău intenţionat, a declarat Saher Naumaan, analist principal de informaţii la BAE Systems Applied Intelligence.
Acum, potrivit Microsoft, grupul se orientează către experţi şi analişti, în unele cazuri fără a mai trimite fişiere sau linkuri maliţioase, chiar dacă victimele răspund. Această tactică poate fi mai rapidă decât spargerea contului cuiva şi parcurgerea e-mailurilor sale. În plus, ocoleşte programele tehnice tradiţionale de securitate ce ar scana şi ar semnaliza un mesaj cu elemente maliţioase. Metoda permite spionilor accesul direct la gândirea experţilor, a explicat Elliott.
„Pentru noi, în calitate de apărători, este foarte, foarte greu să oprim aceste e-mailuri”
Jenny Town a declarat că unele mesaje care pretindeau că provin de la ea au folosit o adresă de e-mail ce se termina cu „.live”, în loc de contul său oficial, care se termină cu „.org”, dar altfel, au copiat întreaga semnătură a acesteia. La un moment dat, a povestit ea, i s-a întâmplat ceva de-a dreptul suprarealist: a fost implicată într-un schimb de e-mailuri în care presupusul atacator, care se dădea drept ea, a inclus-o într-un răspuns.
DePetris, membru al organizaţiei Defense Priorities şi editorialist la mai multe ziare, a declarat că e-mailurile pe care le-a primit erau scrise ca şi cum un cercetător ar fi cerut ajutor pentru prezentarea unei lucrări sau comentarii asupra unui proiect. „Erau destul de sofisticate, cu logo-uri de think tank ataşate la corespondenţă, pentru a face să pară că solicitarea este oficială”, a detaliat el.
La aproximativ trei săptămâni după ce a primit e-mailul falsificat de la 38 North, un alt hacker s-a dat drept el, trimiţând e-mailuri altor persoane pentru a se uita la un proiect, a precizat DePetris. Acel e-mail, pe care DePetris l-a arătat Reuters, oferea 300 de dolari pentru opinia asupra unui draft despre programul nuclear al Coreei de Nord şi cerea recomandări pentru alţi posibili experţi care să facă recenzii.
Colectarea de informații: DePetris a spus că hackerii l-au întrebat despre chestiuni la care lucra deja
A te da drept altă persoană este o metodă comună pentru spionii din întreaga lume, dar, pe măsură ce izolarea Coreei de Nord s-a adâncit din cauza sancţiunilor şi a pandemiei, agenţiile de informaţii occidentale cred că Phenianul a devenit extrem de dependent de campaniile cibernetice, a declarat pentru Reuters o sursă de securitate din Seul.
Jenny Town a declarat că, în unele cazuri, atacatorii au comandat lucrări, iar analiştii au furnizat rapoarte complete sau recenzii ale drafturilor înainte de a realiza ce s-a întâmplat. DePetris a spus că hackerii l-au întrebat despre chestiuni la care lucra deja, inclusiv despre răspunsul Japoniei la activităţile militare ale Coreei de Nord.
Un alt e-mail, care pretindea a fi de la un reporter de la agenţia de presă Kyodo din Japonia, întreba un membru al echipei 38 North cum crede că războiul din Ucraina a influenţat gândirea Coreei de Nord şi punea întrebări despre politicile SUA, Chinei şi Rusiei.
„Se poate doar presupune că nord-coreenii încearcă să obţină opinii sincere din partea unor analişti pentru a înţelege mai bine politica americană cu privire la Coreea de Nord şi încotro s-ar putea îndrepta”, a mai spus DePetris, potrivit japantimes.co.jp.