«Ъ» узнал об атаках хакеров из КНДР на российских дипломатов «Ъ» узнал об атаке хакеров из КНДР на российских дипломатов перед Новым годом За этим, предположительно, стоит северокорейская хакерская группировка Konni. Жертвам рассылались файлы, касающиеся вакцинации
Американские эксперты по информационной безопасности обнаружили кибератаки на сотрудников МИД России перед новогодними праздниками, сообщает газета «Коммерсантъ» со ссылкой на исследования американских компаний по кибербезопасности Cluster25 (входит в DuskRise Inc.) и Black Lotus Labs (входит в Lumen Technologies). Предположительно, атаки совершены северокорейской хакерской группировкой Konni.
По данным Black Lotus Labs, злоумышленники еще в октябре начали фишинговую кампанию: одним дипломатам были разосланы архивы с документами и предлагалось сообщить данные о вакцинации, другим— ссылки на загрузку поддельной «Программы для регистрации привитых в федеральном регистре вакцинированных». В результате была скомпрометирована учетная запись одного из сотрудников внешнеполитического ведомства (mshhlystova@mid.ru). С этого адреса хакеры 20 декабря отправили фишинговое письмо замминистра Сергею Рябкову на адрес SRyabkov@mid.ru (как указано на сайте министерства, он принадлежит секретариату Рябкова), пишет издание.
Кроме того, в Cluster25 рассказали, что еще одно письмо, которое содержало зараженный архив «поздравление.zip», 20 декабря было отправлено посольству России в Индонезии, отправителем значилось якобы диппредставительство в Сербии.
Как пояснила руководитель группы исследования угроз Group-IB Анастасия Тихонова, американские эксперты могли взять примеры писем с сервиса VirusTotal (VT), который анализирует подозрительные файлы. По ее словам, одно из них было размещено там в день атаки 20 декабря.
Группа Konni (APT37) известна с 2017 года. В своих атаках она использовала, в частности, документы, касающиеся отношений России и КНДР, беря тексты из публичных источников, рассказал руководитель отдела исследования угроз Positive Technologies Денис Кувшинов. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, в свою очередь, сообщил, что Konni может присылать поврежденный pdf-файл: получатель не может его открыть и злоумышленники под видом ридера отправляют ему зараженную программу.
Читайте на РБК Pro
Зоркая цифра: в 2022 году налоговая будет знать о компаниях еще больше
Как не остаться без работы в ближайшие десять лет
$4,5 млрд за год: почему Airbyte заваливают деньгами инвесторы
Инфляция бьет рекорды. Эти 4 акции помогут защититься от нее в 2022 году
В ноябре прошлого года газета писала, что атакам другой хакерской группировки Kimsuky, предположительно из Северной Кореи, подверглись российские ученые, эксперты в области внешней политики и неправительственные организации, которые занимаются теми или иными вопросами взаимодействия с КНДР. По данным американской компании по кибербезопасности Proofpoint, злоумышленники посылают своим жертвам фишинговые письма от лица известных в России экспертов. В них содержится ссылка, при переходе по которой появляется окно для ввода логина и пароля. Пользователь по замыслу должен ввести учетные данные.
Елена Чернышова Подпишись на Instagram РБК Получайте новости быстрее всех
