Ексклюзивне розслідування видань STANDARD, Spiegel і ZDF показує, як хакери з групи Kimsuky шпигують за дослідниками, включно з «Відкритою ядерною мережею», що базується у Відні.
Атака починається з електронного листа. У темі написано «Запит на оцінку», уявний журналіст на ім’я «Вільям Кім» хоче знати, коли Північна Корея може наступного разу випробувати ядерну зброю. Електронний лист надійшов до Open Nuclear Network (ONN) у Відні у вересні 2022 року. Відправник встановлює кінцевий термін і просить відповісти протягом трьох днів. Все виглядає як звичайний прес-запит. Але Вільяма Кіма не існує, за псевдонімом ховаються північнокорейські хакери.
Цей електронний лист, який видання STANDARD, Spiegel і ZDF змогли переглянути, починає складну кампанію, спрямовану на шпигування за дослідниками по всьому світу. Хакери спочатку ввічливо просять про оцінку, зміцнюють довіру, а потім надсилають шпигунське програмне забезпечення. Усе це від імені диктатора Кім Чен Ина. Оскільки Північна Корея, мабуть, найбільш ізольована країна у світі, посольства закриті, а дипломати втрачають доступ до цінної інформації, оскільки їх більше немає на місці. Цю інформаційну прогалину мають заповнити хакери.
«Це класична діяльність секретних служб», – розповідає про процедуру Сандра Джойс з компанії Mandiant, яка займається IT-безпекою. «Ви працюєте в Головному розвідувальному бюро». Це служба військової розвідки Північної Кореї. Робота хакерів полягає в тому, щоб «відповідати на стратегічно важливі питання», наприклад, як світова спільнота реагує на запуски ракет Північною Кореєю. «Потім вони передають цю інформацію своєму управлінському персоналу, щоб мати перевагу в знаннях», – каже Джойс. Хакери – експерти називають групу Kimsuky – атакують на великій території. «Хтось, хто пише дисертацію про Північну Корею, повинен очікувати, що потрапить у їхній список цілей», – каже Джойс.
ONN інтенсивно займається Північною Кореєю, зокрема ядерною зброєю. Вона належить до австрійської організації One Earth Future Austria. Його експерти дають оцінки того, коли держави можуть застосувати зброю масового ураження в конфлікті.
Проблема дослідження Північної Кореї полягає в тому, що як тільки про вас дізнаються, приходять хакери. ONN (Відкрита ядерна мережа), яка була заснована у 2019 році та на початку спеціалізувалася на Корейському півострові, розпочала роботу у 2021 році.
«Нічого секретного ми не робимо, вся інформація доступна для всіх», – каже співробітник, який не захотів назвати свого імені. Але ніхто не встигає опрацювати та проаналізувати всі джерела. «Але ми це робимо і зважуємо, чи слід сприймати інформацію серйозно чи як пропаганду». Потім вони публікують аналізи на веб-сайті ONN.
З Kimsuky мимоволі познайомилася і американська експертка з Північної Кореї Дженні Таун, яка очолює проєкт 38North у вашингтонському аналітичному центрі Stimson Center. Одного разу вона зайшла в свій кабінет і помітила, що на її моніторі відбуваються речі, які вона не контролює: хтось запускає програми та активує камеру. «Вони були в моїй системі та мали доступ до всіх моїх файлів, – сказала Таун у презентації про інцидент, – очевидно, вони хотіли зібрати інформацію». Дослідниця задокументувала атаку скріншотами, які представила журналістам видань STANDARD, ZDF і Spiegel.
Підозра Дженні Таун одразу впала на північнокорейців. Пізніше вона дізналася, що за її електронною скринькою стежили протягом трьох місяців.
Ще минулого року Федеральне відомство з охорони конституції Німеччини (BfV) попередило в листі, що за такими нападами стоїть Kimsuky.
У листі BfV попереджає, «що актор може поширити описану тут кампанію, серед іншого, на глобальні аналітичні центри дипломатії та безпеки». За інформацією видань STANDARD, Spiegel і ZDF, це саме так. Наприклад, окрім дослідників ядерної зброї з ONN, хакери також намагалися заманити співробітників Берлінського науково-політичного фонду (SWP) за допомогою фішингових електронних листів. У всіх інституціях наголосили, що вони не попалися на спроби.
Сьогодні, у понеділок, Федеральне відомство з охорони конституції та південнокорейська розвідувальна служба NIS знову попередили про дві північнокорейські хакерські групи. Обидві служби попереджають насамперед про економічне шпигунство в збройовій промисловості. Режим диктатора Кім Чен Ина використовує «військові технології для модернізації та покращення характеристик звичайної зброї та розробки нових систем стратегічної зброї, включаючи балістичні ракети, розвідувальні супутники та підводні човни», – йдеться у заяві.
Північнокорейські хакери, очевидно, все частіше намагаються отримати інформацію, яку секретні служби Північної Кореї більше не можуть отримати іншим способом. Офіс із захисту конституції попереджає, що Північна Корея все частіше використовує «кібершпигунство як економічно ефективний засіб» для «отримання військових технологій». З фінансових причин Північній Кореї нещодавно довелося закрити численні посольства та консульства, де традиційно розташовувалися численні агенти для отримання інформації.
Ексклюзивне розслідування видань STANDARD, Spiegel і ZDF тепер показує, як хакери з групи Kimsuky отримували інформацію про політичну позицію щодо Північної Кореї з-за кордону.
Ймовірно, хакери вважали, що достатньо замели сліди. Вони вкрали дані та відкрито виклали їх в Інтернет. Але потім остаточно видалили. Про що, мабуть, забули хакери: те, що видалено, не втрачено. Дані все ще можна було знайти завдяки своєрідній машині часу на Github.
Github – це платформа для програмістів. Багато розробників працюють у командах і діляться своїми фрагментами коду через Github. Якщо програма більше не працює, вони просто створюють стару версію, подорожуючи у часі. Державні хакери Північної Кореї також завантажили свої дані на Github. Кожен, хто знав її профіль, міг стежити за її діями там. Експерти з ІТ-безпеки з Німецької організації з кібербезпеки (DCSO) зробили саме це, завантажили папку та її вміст і поділилися нею з виданнями STANDARD, Spiegel і ZDF.
«По суті, було чотири каталоги, де ми знайшли вкрадені дані», – каже експерт DCSO. «Було ясно, що це дані, які були вкрадені з браузерів». Маючи дані – ім’я користувача, пароль і файли cookie – хакери потенційно можуть заволодіти обліковими записами, тобто читати скриньки електронної пошти, стежити за календарями зустрічей і списками контактів, а також копатися в хмарних сховищах.
Згідно з аналізом папок, який видання DER STANDARD зміг зрозуміти на основі даних, хакери зберігали свою інформацію на Github протягом щонайменше чотирьох місяців, починаючи з грудня 2022 року. Вони шпигували за трьома професорами з Південної Кореї. Ці професори не відповіли на запит.
У папці під назвою «Тест» хакери перевірили, чи спрацює їхній підхід. Лише через кілька тижнів вони почали атаку. Термін «Kwangmyong» з’являється в тестовій папці, імовірно в результаті визначення місцезнаходження за допомогою IP-адреси. Kwangmyong відноситься до інтранету Північної Кореї. «Вірним припущенням є те, що зловмисники заразилися самі», – пояснює експерт DCSO, – і ненавмисно виявили своє місцезнаходження. Імовірно, це помилка, яка дозволяє зробити висновок, що хакери насправді прийшли з Північної Кореї.
Для співробітниці віденської Відкритої ядерної мережі електронні листи не стали несподіванкою: «Ми працюємо над темою, яка є дуже делікатною і привертає увагу». Вона та її колеги дуже уважні та навчені звертатися до ІТ-відділу, щойно їм щось здається дивним. Але вона хотіла б точно знати, чого хакери хотіли досягти своїми атаками: «По суті, ми запитуємо себе, чому відбуваються ці атаки», – каже вона. «Ви також можете просто прочитати це на нашому веб-сайті».
https://www.derstandard.at/story/3000000207811/die-welt-im-visier-so-effektiv-arbeiten-nordkoreas-hacker