- MSTIC a declarat că a identificat „mai mulți” experți din Coreea de Nord care au furnizat informații unui cont de atacator Thallium.
- Thallium a vizat în mod istoric angajați guvernamentali, grupuri de reflecție, academicieni și organizații pentru drepturile omului, potrivit Microsoft.
- Ambasada Coreei de Nord la Londra nu a răspuns la o solicitare de comentarii, dar a negat că este implicată în infracțiuni cibernetice.
Grupul de hackeri, pe care cercetătorii l-au numit Thallium sau Kimsuky, printre alte nume, folosește de mult timp e-mailuri de tip „spear-phishing” care păcălesc țintele pentru a le determina să dea parole sau să facă clic pe atașamente sau linkuri care încarcă programe malware. Acum, însă, se pare că solicită pur și simplu cercetătorilor sau altor experți să ofere opinii sau să scrie rapoarte.
Potrivit e-mailurilor analizate de Reuters, printre alte probleme ridicate se numără reacția Chinei în cazul unui nou test nuclear și dacă ar fi justificată o abordare mai „liniștită” a „agresiunii” nord-coreene. „Atacatorii au o tonă de succes cu această metodă foarte, foarte simplă”, a declarat James Elliott de la Microsoft Threat Intelligence Center (MSTIC), care a adăugat că noua tactică a apărut pentru prima dată în ianuarie. „Atacatorii au schimbat complet procesul”.
MSTIC a declarat că a identificat „mai mulți” experți din Coreea de Nord care au furnizat informații unui cont de atacator Thallium. Experții și analiștii vizați de campanie sunt influenți în modelarea opiniei publice internaționale și a politicii guvernelor străine față de Coreea de Nord, au declarat cercetătorii în domeniul securității cibernetice.
Un raport din 2020 al agențiilor de securitate cibernetică ale guvernului SUA a afirmat că Thallium funcționează din 2012 și „cel mai probabil este însărcinat de regimul nord-coreean cu o misiune de colectare de informații la nivel global”. Thallium a vizat în mod istoric angajați guvernamentali, grupuri de reflecție, academicieni și organizații pentru drepturile omului, potrivit Microsoft.
„Atacatorii primesc informațiile direct din gura calului, dacă vreți, și nu trebuie să stea acolo și să facă interpretări, deoarece le primesc direct de la expert”, a spus Elliot.
Tactici noi
Hackerii nord-coreeni sunt bine cunoscuți pentru atacuri care au adus milioane de dolari, vizând Sony Pictures pentru un film considerat insultător la adresa liderului său și furând date de la companii farmaceutice și de apărare, guverne străine și altele.
Ambasada Coreei de Nord la Londra nu a răspuns la o solicitare de comentarii, dar a negat că este implicată în infracțiuni cibernetice. În alte atacuri, Thallium și alți hackeri au petrecut săptămâni sau luni pentru a dezvolta încredere cu o țintă înainte de a trimite un software rău intenționat, a declarat Saher Naumaan, analist principal de informații despre amenințări la BAE Systems Applied Intelligence.
Dar, potrivit Microsoft, grupul se implică acum și cu experții, în unele cazuri fără a trimite vreodată fișiere sau linkuri malițioase, chiar și după ce victimele răspund. Această tactică poate fi mai rapidă decât spargerea contului cuiva și parcurgerea e-mailurilor sale, ocolește programele tehnice tradiționale de securitate care ar scana și ar semnaliza un mesaj cu elemente malițioase și permite spionilor accesul direct la gândirea experților, a spus Elliot.
„Pentru noi, în calitate de apărători, este foarte, foarte greu să oprim aceste e-mailuri”, a spus el, adăugând că, în cele mai multe cazuri, totul se reduce la faptul că destinatarul este capabil să își dea seama.