Severní Korea roky provádí různé kybernetické útoky. Občas jsou bohužel úspěšné a nejde jí jen o špionáž sousedních „nepřátelských“ států, ale samozřejmě i o peníze. Bylo zaznamenáno několik případů krádeže kryptoměn a v některých státech dochází k výběrům hotovosti z kradených platebních karet. Peníze jsou pak rozděleny a velký podíl míří právě do KLDR. V posledních měsících byla zaznamenána masivní aktivita severokorejské skupiny Kimsuky. Jejím cílem je získat citlivé informace.
Přesun na Mail.ru
Poslední měsíce byla zaznamenána masivní phishingová kampaň skupiny Kimsuky. Dle analytiků je skutečně napojena na vládu KLDR. Zprvu měla rozesílat podvodné e-maily z japonských e-mailových služeb, ale nyní byl zaznamenán přesun na ruskou službu Mail.ru od VK. Příjemci phishingové zprávy dostávají z domén mail.ru, internet.ru, bk.ru, inbox.ru nebo list.ru.
Proč došlo k přesunu? To samozřejmě nevíme, ale ze strany skupiny se jedná o chytrý krok. Předpokládám, že zneužívané služby již mají nebo chystají nějaká bezpečnostní opatření. Jelikož je Rusko spojencem KLDR, vůbec bych se nedivil tomu, kdyby služba Mail.ru dostala pokyn skupině nebránit v útocích. To je však čistě spekulace.
Jak útoky probíhají a kdo je cílem?
Phishing je stále velmi účinná forma útoku, kdy ze svého cíle dostanete potřebné přihlašovací údaje, platební údaje či jiné citlivé informace. Skupina Kimsuky do e-mailu nepřipojuje žádné přílohy s malwarem, ale posílá odkazy na různé falešné domény. Je to jednoduché a vlastně tím získává větší šanci doručení, jelikož takové zprávy nejsou detekovány různými ochrannými systémy. Příjemce je upozorněn na naléhavost přezkoumání údajů v dokumentech. Oběť se tedy zalekne, klikne na odkaz a vyplní citlivé informace. Skupina je pak může zneužít třeba k přihlášení do citlivých systémů a získat data důležitá pro svou vládu. Cílem jsou státní organizace a úředníci.
„Phishingové e-maily byly až do začátku září rozesílány především prostřednictvím e-mailových služeb v Japonsku a Koreji,“ uvedla jihokorejská společnost Genians, která se zabývá kybernetickou bezpečností. „Od poloviny září pak byly pozorovány některé phishingové e-maily maskované, jako by byly odeslány z Ruska.“
Kimsuky je tu s námi již léta
Analytici kybernetické bezpečnosti odhalili, že skupina Kimsuky působí nejspíš již od roku 2012. Podílí se na globálních špionážních aktivitách a nejčastěji útočí na sousední své jižní sousedy. Již ale prý byla zaznamenána aktivita na útocích v Evropě, USA a Británii.
Jaké značky mobilů se v KLDR prodávají? Jaké jsou nejoblíbenější?
