Zpravodajské služby USA a Jižní Koreje vydaly společné varování, v němž popisují metody současné kampaně založené na sociálním inženýrství severokorejské skupiny Kimsuky. Kampaně mají za cíl manipulovat a kompromitovat své oběti za účelem shromažďování zpravodajských informací.
Aktéři podle zveřejněného upozornění používají taktiku vydávání se za spolehlivé zdroje, aby získali důvěru svých cílů a shromažďovali zpravodajské informace o geopolitických událostech, zahraničně-politických strategiích a diplomatickém úsilí zemí, které „ohrožují režim KLDR“. Tyto informace aktérům zároveň pomáhají vytvářet phishingové e-maily, které jsou důvěryhodnější a působivější.
Podle zpravodajských agentur a výzkumníků je skupina řízena severokorejskou vojenskou zpravodajskou organizací Reconnaissance General Bureau (RGB), na kterou již dříve Rada bezpečnosti OSN uvalila sankce. V pátek 26. května uvalila Jižní Korea na členy Kimsuky nové sankce za jejich údajný podíl na nedávném vypuštění severokorejské špionážní družice do vesmíru. Vypuštění družice skončilo neúspěchem, kdy nosná raketa i náklad spadly do moře.
Podle prohlášení jihokorejského ministerstva se Kimsuky přímo či nepřímo podílela na severokorejském vývoji družic „krádeží špičkových technologií v oblasti vývoje zbraní, družic a vesmíru“. Severní Korea odmítla kritiku Washingtonu i dalších zemí týkající se vypuštění družice a prosazovala své svrchované právo na výzkum vesmíru.
Falešné identity
Aktéři skupiny Kimsuky obvykle používají k získání počátečního přístupu ke svým cílům spear-phishingové útoky, při nichž se vydávají za skutečné novináře, akademiky nebo výzkumné pracovníky think-tanků s důvěryhodnými vazbami na severokorejské politické kruhy. Cílem je získat nezákonný přístup k soukromým dokumentům, výzkumu a komunikaci obětí.
Severní Korea podle zprávy spoléhá do značné míry na zpravodajské informace získané z těchto operací.
Kampaně jsou nebezpečné, protože některé cíle mohou podcenit hrozbu, kterou tyto útoky představují. A to „buď proto, že nevnímají svůj výzkum a komunikaci jako citlivé, nebo proto, že si nejsou vědomi toho, jak tyto snahy podporují širší kybernetické špionážní úsilí režimu,“ uvádí dokument.
Spear-phishingová kampaň Kimsuky obvykle začíná rozsáhlým průzkumem a přípravou. Aktéři využívají informace z otevřených zdrojů k identifikaci potenciálních cílů a poté přizpůsobují své online identity tak, aby pro své oběti vypadaly realističtěji a přitažlivěji. Vytvářejí také e-mailové adresy, které se podobají adresám skutečných osob nebo běžných internetových služeb a mediálních stránek.
Agentury, které zprávu zveřejnily, se domnívají, že zvýšení povědomí o některých z těchto kampaní a základní gramotnosti v oblasti kybernetické bezpečnosti může snížit účinnost těchto spear-phishingových operací.
Spojené státy vyzývají oběti, aby hlásily podezřelé aktivity, včetně těch, které souvisejí s podezřením na severokorejské hackery. Za tyto informace může program Odměny za spravedlnost ministerstva zahraničí USA poskytnout odměnu až do výše 5 milionů dolarů.
Zdroje: state.gov, thehackernews.com, therecord.media