Аналитические центры и НПО: идеальное прикрытие для кибершпионажа

TA427, ‎также‏ ‎известная ‎как ‎Leviathan ‎или ‎TempPeriscope, представляет‏ ‎собой ‎группу‏ ‎кибершпионажа,‏ ‎которая, ‎как ‎полагают,‏ ‎связана ‎с‏ ‎Северной ‎Кореей. ‎Их ‎основная‏ ‎цель‏ ‎— ‎сбор‏ ‎разведывательной ‎информации‏ ‎по ‎вопросам ‎внешней ‎политики, ‎связанным‏ ‎с‏ ‎США, ‎Южной‏ ‎Кореей ‎и‏ ‎другими ‎странами, ‎представляющими ‎стратегический ‎интерес‏ ‎для‏ ‎северокорейского‏ ‎режима. ‎TA427‏ ‎использует ‎сложную‏ ‎схему ‎атаки,‏ ‎которая‏ ‎включает ‎в‏ ‎себя ‎несколько ‎этапов:

Разведка ‎и ‎сбор‏ ‎информации

📌TA427 ‎проводит‏ ‎OSINT‏ ‎сбор ‎для ‎выявления‏ ‎потенциальных ‎целей,‏ ‎таких ‎как ‎эксперты ‎по‏ ‎внешней‏ ‎политике, ‎аналитические‏ ‎центры ‎и‏ ‎академические ‎учреждения.

📌 Они ‎используют ‎общедоступную ‎информацию‏ ‎для‏ ‎создания ‎специального‏ ‎контента-приманки ‎и‏ ‎личностей, ‎которые ‎кажутся ‎их ‎целям‏ ‎легитимными.

Первоначальный‏ ‎контакт‏ ‎и ‎социальная‏ ‎инженерия

📌TA427 ‎устанавливает‏ ‎контакт ‎с‏ ‎целями‏ ‎с ‎помощью‏ ‎фишинговых ‎электронных ‎писем, ‎которые, ‎как‏ ‎представляется, ‎поступают‏ ‎из‏ ‎надежных ‎источников ‎или‏ ‎от ‎личностей,‏ ‎связанных ‎с ‎исследованиями ‎в‏ ‎Северной‏ ‎Корее.

📌Электронные ‎письма‏ ‎часто ‎содержат‏ ‎своевременный ‎и ‎актуальный ‎контент, ‎такой‏ ‎как‏ ‎приглашения ‎на‏ ‎мероприятия, ‎запросы‏ ‎на ‎исследовательские ‎работы ‎или ‎вопросы‏ ‎по‏ ‎внешнеполитическим‏ ‎темам.

📌 Цель ‎состоит‏ ‎в ‎том,‏ ‎чтобы ‎установить‏ ‎контакт‏ ‎с ‎объектами‏ ‎и ‎вовлечь ‎их ‎в ‎длительные‏ ‎беседы ‎на‏ ‎протяжении‏ ‎недель ‎или ‎месяцев.

Злоупотребления‏ ‎DMARC ‎и‏ ‎подделка ‎электронных ‎писем

📌Чтобы ‎повысить‏ ‎доверие‏ ‎к ‎своим‏ ‎электронным ‎письмам,‏ ‎TA427 ‎использует ‎слабые ‎политики ‎DMARC‏ ‎(Domain-based‏ ‎Message ‎Authentication,‏ ‎Reporting ‎&‏ ‎Conformance) ‎для ‎подмены ‎доверенных ‎доменов‏ ‎и‏ ‎пользователей.

📌Такие‏ ‎методы, ‎как‏ ‎подделка ‎личных‏ ‎учетных ‎записей‏ ‎электронной‏ ‎почты ‎и‏ ‎использование ‎бесплатных ‎адресов ‎электронной ‎почты,‏ ‎используются ‎для‏ ‎того,‏ ‎чтобы ‎выдавать ‎себя‏ ‎за ‎законных‏ ‎физических ‎лиц ‎или ‎организации.

Профилирование‏ ‎и‏ ‎разведка

📌TA427 ‎включает‏ ‎web-beacon ‎в‏ ‎электронных ‎письмах ‎для ‎сбора ‎базовой‏ ‎информации‏ ‎о ‎целях,‏ ‎например, ‎для‏ ‎подтверждения ‎того, ‎активны ‎ли ‎их‏ ‎учетные‏ ‎записи‏ ‎электронной ‎почты.

📌Эта‏ ‎первоначальная ‎проверка‏ ‎помогает ‎группе‏ ‎адаптировать‏ ‎свои ‎последующие‏ ‎взаимодействия ‎и ‎собрать ‎информацию ‎о‏ ‎целевой ‎организации.

Развертывание‏ ‎вредоносного‏ ‎ПО ‎(необязательно)

📌TA427 ‎может‏ ‎воспользоваться ‎вредоносное‏ ‎ПО ‎или ‎сборщиков ‎учетных‏ ‎данных‏ ‎к ‎скомпрометированным‏ ‎объектам.

📌Вредоносные ‎вложения‏ ‎или ‎ссылки ‎могут ‎использоваться ‎для‏ ‎получения‏ ‎дополнительного ‎доступа‏ ‎к ‎системам‏ ‎объекта ‎или ‎кражи ‎конфиденциальных ‎данных.

Утечка‏ ‎данных‏ ‎и‏ ‎сбор ‎разведывательной‏ ‎информации

📌 Основной ‎целью‏ ‎TA427 ‎является‏ ‎сбор‏ ‎разведывательной ‎информации‏ ‎по ‎вопросам ‎внешней ‎политики ‎посредством‏ ‎разговоров ‎и‏ ‎информации,‏ ‎которой ‎обмениваются ‎объекты.

📌Любые‏ ‎украденные ‎данные‏ ‎или ‎учетные ‎данные ‎могут‏ ‎быть‏ ‎также ‎извлечены‏ ‎для ‎дальнейшего‏ ‎использования ‎в ‎разведывательных ‎целях.

Сценарии ‎и‏ ‎примеры‏ ‎из ‎реальной‏ ‎жизни

📌"Адресовано ‎экспертам‏ ‎по ‎внешней ‎политике»: ‎TA427 ‎напрямую‏ ‎запрашивает‏ ‎мнения‏ ‎экспертов ‎по‏ ‎внешней ‎политике‏ ‎по ‎таким‏ ‎темам,‏ ‎как ‎ядерное‏ ‎разоружение, ‎политика ‎США ‎в ‎отношении‏ ‎Южной ‎Кореи‏ ‎и‏ ‎санкции, ‎с ‎помощью‏ ‎электронных ‎писем,‏ ‎с ‎помощью ‎которых ‎можно‏ ‎начать‏ ‎разговор.

📌Подделка ‎данных‏ ‎аналитических ‎центров‏ ‎и ‎НПО: ‎Чтобы ‎придать ‎легитимность‏ ‎своим‏ ‎электронным ‎письмам‏ ‎и ‎повысить‏ ‎шансы ‎на ‎взаимодействие, ‎TA427 ‎выдает‏ ‎себя‏ ‎за‏ ‎людей, ‎имеющих‏ ‎отношение ‎к‏ ‎аналитическим ‎центрам‏ ‎и‏ ‎неправительственным ‎организациям‏ ‎(НПО).

📌 Своевременный ‎контент ‎о ‎приманках: TA427 ‎создает‏ ‎контент ‎о‏ ‎приманках‏ ‎на ‎основе ‎реальных‏ ‎событий ‎и‏ ‎сообщений ‎международной ‎прессы, ‎благодаря‏ ‎чему‏ ‎их ‎электронные‏ ‎письма ‎кажутся‏ ‎адресатам ‎актуальными ‎и ‎заслуживающими ‎доверия.

📌 Долгосрочное‏ ‎взаимодействие:‏ ‎TA427 ‎привлекает‏ ‎целевые ‎группы‏ ‎на ‎длительные ‎периоды ‎времени, ‎постоянно‏ ‎меняя‏ ‎псевдонимы‏ ‎и ‎персонажей.

📌Потенциальный‏ ‎таргетинг ‎на‏ ‎криптовалюту: был ‎выявлен‏ ‎интерес‏ ‎к ‎таргетингу‏ ‎на ‎криптовалютные ‎платформы, ‎такие ‎как‏ ‎http://blockchain.com в ‎прошлом‏ ‎для‏ ‎получения ‎финансовой ‎выгоды.