Un presupus grup de hackeri care spionează pentru regimul lui Kim Jong Un se folosește de o metodă inedită pentru a obține informații: trimite e-mailuri unor experți, dându-se drept alte persoane, și le cere opinii sau articole despre probleme care interesează Phenianul, de pildă cum ar reacționa China în cazul în care Coreea de Nord ar proceda la un test nuclear, relatează Reuters.
Când Daniel DePetris, un analist de politică externă din SUA, a primit în luna octombrie un e-mail de la directoarea think-tank-ului 38 North, care îi comanda un articol, părea să fie un demers absolut obișnuit. Dar nu a fost așa. Expeditorul era de fapt un presupus spion nord-coreean care căuta informații. În loc să îi infecteze calculatorul și să fure date sensibile, așa cum fac de obicei hackerii, cel care a trimis mailul părea să încerce altceva: să îi ceară părerea despre probleme de securitate nord-coreene, pretinzând că este directoarea organizației 38 North, Jenny Town.
"Mi-am dat seama că ceva nu era în regulă, după ce am contactat persoana în cauză pentru niște întrebări suplimentare și așa am aflat că, de fapt, nu a existat nicio solicitare de articol și mai mult, chiar această persoană era, la rândul ei, o țintă", a declarat pentru Reuters Daniel DePetris, referindu-se la Jenny Town. "Așa că mi-am dat seama destul de repede că era o campanie generalizată", a adăugat DePetris.
28 noiembrie - Profit Financial.forum
E-mailul primit de expert face parte dintr-o campanie nouă, despre care nu s-a știut până acum, a unui presupus grup de hackeri nord-coreeni, potrivit experților în securitate cibernetică, scrie News.ro.
CINE ESTE THALLIUM
Grupul de hackeri - între care, printre altele, experții au identificat numele de cod Thallium și Kimsuky - folosește de mult timp tehnica numită "spear-phishing", care constă în a trimite un e-mail, aparent în numele unei organizații respectabile, și a păcăli țintele determinându-le să dea parole sau să facă clic pe atașamente sau linkuri ce încarcă un program de tip malware. Acum, însă, se pare că hackerii solicită pur și simplu cercetătorilor sau altor experți să le ofere opinii sau să scrie articole.
Potrivit e-mailurilor analizate de Reuters, printre temele de interes s-au numărat reacția Chinei în cazul unui nou test nuclear nord-coreean și dacă ar putea fi obținută o abordare mai "tăcută" față de "agresiunea" nord-coreană.
"Atacatorii au foarte mult succes cu această metodă foarte, foarte simplă", a declarat James Elliott de la Microsoft Threat Intelligence Center (MSTIC), care spune că noua tactică a apărut pentru prima dată în ianuarie. "Atacatorii au schimbat complet procesul", arată expertul. "Atacatorii primesc informațiile direct de la sursă, dacă vreți, și nu trebuie să mai stea să facă interpretări, pentru că le primesc direct de la expert", a spus Elliott.
MSTIC a identificat "mai mulți" analiști specializați în probleme ce țin de Coreea de Nord care au furnizat informații unui cont al unui prespus atacator cu numele de cod Thallium.
Un raport din 2020 al agențiilor guvernamentale americane de securitate cibernetică arăta că Thallium activează din 2012 și că "cel mai probabil este însărcinat de regimul nord-coreean cu o misiune de colectare de informații la nivel global". Thallium a vizat de-a lungul timpului angajați guvernamentali, grupuri de reflecție, academicieni și organizații pentru drepturile omului, potrivit Microsoft.
Hackerii nord-coreeni sunt cunoscuți pentru atacuri ce le-au adus milioane de dolari, vizând de pildă compania Sony Pictures din cauza un film considerat insultător la adresa liderului Kim Jong Un. Au furat, de asemenea, date de la companii farmaceutice sau din domeniul apărării și de la guverne străine.
În alte atacuri, Thallium și alți hackeri au petrecut săptămâni sau chiar luni pentru a dezvolta o relație de încredere cu o țintă înainte de a-i trimite un software rău intenționat, a declarat Saher Naumaan, analist principal de informații la BAE Systems Applied Intelligence.
O SITUAȚIE SUPRAREALISTĂ
Acum, potrivit Microsoft, grupul se orientează către experți și analiști, în unele cazuri fără a mai trimite fișiere sau linkuri malițioase, chiar dacă victimele răspund. Această tactică poate fi mai rapidă decât spargerea contului cuiva și parcurgerea e-mailurilor sale. În plus, ocolește programele tehnice tradiționale de securitate ce ar scana și ar semnaliza un mesaj cu elemente malițioase. Metoda permite spionilor accesul direct la gândirea experților, a explicat Elliott.
"Pentru noi, în calitate de apărători, este foarte, foarte greu să oprim aceste e-mailuri", a spus el, adăugând că, în cel mai bun caz, destinatarul este capabil să își dea seama că ceva nu e în regulă.
Jenny Town a declarat că unele mesaje care pretindeau că provin de la ea au folosit o adresă de e-mail ce se termina cu ".live", în loc de contul său oficial, care se termină cu ".org", dar altfel, au copiat întreaga semnătură a acesteia. La un moment dat, a povestit ea, i s-a întâmplat ceva de-a dreptul suprarealist: a fost implicată într-un schimb de e-mailuri în care presupusul atacator, care se dădea drept ea, a inclus-o într-un răspuns.
DePetris, membru al organizației Defense Priorities și editorialist la mai multe ziare, a declarat că e-mailurile pe care le-a primit erau scrise ca și cum un cercetător ar fi cerut ajutor pentru prezentarea unei lucrări sau comentarii asupra unui proiect. "Erau destul de sofisticate, cu logo-uri de think tank atașate la corespondență, pentru a face să pară că solicitarea este oficială", a detaliat el.
La aproximativ trei săptămâni după ce a primit e-mailul falsificat de la 38 North, un alt hacker s-a dat drept el, trimițând e-mailuri altor persoane pentru a se uita la un proiect, a precizat DePetris. Acel e-mail, pe care DePetris l-a arătat Reuters, oferea 300 de dolari pentru opinia asupra unui draft despre programul nuclear al Coreei de Nord și cerea recomandări pentru alți posibili experți care să facă recenzii.
O TEHNICĂ MAI RAPIDĂ ȘI MAI PRAGMATICĂ DE A CULEGE INFORMAȚII
A te da drept altă persoană este o metodă comună pentru spionii din întreaga lume, dar, pe măsură ce izolarea Coreei de Nord s-a adâncit din cauza sancțiunilor și a pandemiei, agențiile de informații occidentale cred că Phenianul a devenit extrem de dependent de campaniile cibernetice, a declarat pentru Reuters o sursă de securitate din Seul.
Într-un raport din martie 2022, un grup de experți care investighează modul în care Coreea de Nord ocolește sancțiunile ONU a inclus eforturile lui Thallium printre activitățile ce "constituie spionaj, fiind menite să informeze și să ajute" la evitarea sancțiunilor de către această țară.
Jenny Town a declarat că, în unele cazuri, atacatorii au comandat lucrări, iar analiștii au furnizat rapoarte complete sau recenzii ale drafturilor înainte de a realiza ce s-a întâmplat.
DePetris a spus că hackerii l-au întrebat despre chestiuni la care lucra deja, inclusiv despre răspunsul Japoniei la activitățile militare ale Coreei de Nord.
Un alt e-mail, care pretindea a fi de la un reporter de la agenția de presă Kyodo din Japonia, întreba un membru al echipei 38 North cum crede că războiul din Ucraina a influențat gândirea Coreei de Nord și punea întrebări despre politicile SUA, Chinei și Rusiei.
"Nu putem decât să presupunem că nord-coreenii încearcă să obțină opinii sincere din partea unor analiști pentru a înțelege mai bine politica americană cu privire la Coreea de Nord și încotro s-ar putea îndrepta", a conchis DePetris.
