Предположительно, за этим стоит северокорейская хакерская группировка Konni. Жертвам рассылались файлы, касающиеся вакцинации.
https://pixabay.com/ru/
Американские эксперты по информационной безопасности обнаружили кибератаки на сотрудников МИД России перед новогодними праздниками, сообщает газета «Коммерсантъ» со ссылкой на исследования американских компаний по кибербезопасности Cluster25 (входит в DuskRise Inc.) и Black Lotus Labs (входит в Lumen Technologies). Предположительно, они совершались северокорейской хакерской группировкой Konni.
По данным Black Lotus Labs, злоумышленники еще в октябре начали фишинговую кампанию: одним дипломатам были разосланы архивы с документами и предлагалось сообщить данные о вакцинации, другим — ссылки на загрузку поддельной «Программы для регистрации привитых в федеральном регистре вакцинированных». В результате была скомпрометирована учетная запись одного из сотрудников внешнеполитического ведомства (mshhlystova@mid.ru). С этого адреса хакеры 20 декабря отправили фишинговое письмо замминистра Сергею Рябкову на адрес SRyabkov@mid.ru (как указано на сайте министерства, он принадлежит секретариату Рябкова), пишет издание.
Кроме того, в Cluster25 рассказали, что еще одно письмо, которое содержало зараженный архив «поздравление.zip», 20 декабря было отправлено посольству России в Индонезии, отправителем значилось якобы диппредставительство в Сербии.
Как пояснила руководитель группы исследования угроз Group-IB Анастасия Тихонова, американские эксперты могли взять примеры писем с сервиса VirusTotal (VT), который анализирует подозрительные файлы. По ее словам, одно из таких писем было размещено там в день атаки, 20 декабря.
Группа Konni (APT37) известна с 2017 года. В своих атаках она использовала, в частности, документы, касающиеся отношений России и КНДР, беря тексты из публичных источников, рассказал руководитель отдела исследования угроз Positive Technologies Денис Кувшинов. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо, в свою очередь, сообщил, что Konni может прислать поврежденный pdf-файл: получатель не может его открыть, и злоумышленники под видом ридера отправляют ему зараженную программу.
В ноябре прошлого года газета писала, что атакам другой хакерской группировки — Kimsuky, предположительно из Северной Кореи, подверглись российские ученые, эксперты в области внешней политики и неправительственные организации, которые занимаются вопросами взаимодействия с КНДР. По данным американской компании по кибербезопасности Proofpoint, злоумышленники посылают своим жертвам фишинговые письма от лица известных в России экспертов. В них содержится ссылка, при переходе появляется окно для ввода логина и пароля. Пользователь, по замыслу, должен ввести учетные данные.
Елена Чернышова