Spionii nord-coreeni au schimbat tactica: „Au enorm de mult succes cu această metodă foarte, foarte simplă”

Când Daniel DePetris, un expert în afaceri externe cu sediul în SUA, a primit în octombrie un e-mail de la directorul think-tank-ului 38 North, care îi comanda un articol, părea că este vorba despre o chestiune obișnuită. Dar nu era așa, scrie Reuters

Expeditorul era de fapt un spion nord-coreean care căuta informații, potrivit celor implicați și a trei cercetători în domeniul securității cibernetice.

În loc să îi infecteze calculatorul și să fure date sensibile, așa cum fac de obicei hackerii, expeditorul încerca să îi obțină părerea despre problemele de securitate nord-coreene, pretinzând că este directorul 38 North, Jenny Town.

„Mi-am dat seama că nu era ceva în regulă după ce am contactat persoana (reală) cu întrebări suplimentare și am aflat că, de fapt, nu a existat nicio solicitare și că această persoană era, de asemenea, o țintă”, a declarat DePetris pentru Reuters, referindu-se la Town. „Mi-am dat seama destul de repede că era o campanie de amploare”.

E-mailul face parte dintr-o campanie nouă și nedezvăluită public până acum, desfășurată probabil de grup de hackeri nord-coreeni, potrivit experților în securitate cibernetică, a cinci persoane vizate și a e-mailurilor analizate de Reuters.

Au enorm de mult succes cu această metodă foarte, foarte simplă

Grupul de hacking, pe care cercetătorii l-au numit Thallium sau Kimsuky, a folosit multă vreme e-mailuri de „spear-phishing” care păcălesc țintele să-și dezvăluie parolele sau să dea click pe atașamente sau linkuri care încarcă malware.

Acum, însă, pur și simplu solicită cercetătorilor sau altor experți să ofere opinii sau să le scrie lucrări științifice.

Potrivit e-mailurilor analizate de Reuters, printre chestiunile abordate s-au numărat reacția Chinei în cazul unui nou test nuclear; și dacă ar fi justificată o abordare mai „ calmă” a „agresiunii” nord-coreene.

„Atacatorii au enorm de mult succes cu această metodă foarte, foarte simplă. Atacatorii au schimbat complet modul de operare”, a declarat James Elliott de la Microsoft Threat Intelligence Center (MSTIC), adăugând că noua tactică a apărut pentru prima dată în ianuarie.

MSTIC a precizat că a identificat „mai mulți” experți în Coreea de Nord care au furnizat informații celor de la Thallium.

Experții și analiștii vizați de campanie sunt influenți în modelarea opiniei publice internaționale și a politicii guvernelor străine față de Coreea de Nord, au declarat cercetătorii în domeniul securității cibernetice.

Au schimbat tactica, acum nici nu mai trimit malware

Un raport din 2020 al agențiilor de securitate cibernetică ale guvernului SUA a arătat că Thallium funcționează din 2012 și „cel mai probabil este însărcinat de regimul nord-coreean cu o sarcină de colectare de informații la nivel global”.

„Thallium a vizat angajați guvernamentali, grupuri de reflecție, cadre universitare și organizații pentru drepturile omului, potrivit Microsoft. Atacatorii primesc informațiile direct de la sursă și nu mai trebuie să facă ei analize, deoarece le recepționează direct de la expert”, a spus Elliot.

Hackerii nord-coreeni au devenit bine-cunoscuți pentru atacuri care le-au adus milioane de dolari, au atacat Sony Pictures pentru un film considerat insultător la adresa liderului Kim Jong Un și au furat date de la companii farmaceutice și de apărare, guverne străine și altele.

În precedentul tip de atacuri, Thallium și alți hackeri au petrecut săptămâni sau luni pentru a dezvolta încrederea unei ținte înainte de a trimite un malware, a declarat Saher Naumaan, analist principal de informații despre amenințări la BAE Systems Applied Intelligence.

Acum potrivit Microsoft, grupul vizează analiști și experți, iar în unele cazuri nu le trimit deloc fișiere sau linkuri malware, nici dacă țintele lor răspund la emailuri.

Oferă bani, dar fără nicio intenție de a plăti

Această tactică poate fi mai eficientă decât spargerea contului cuiva și parcurgerea e-mailurilor sale, ocolește programele tradiționale de securitate care ar scana și ar semnaliza un mesaj cu elemente malware și permite spionilor accesul direct la modul de gândire al experților, a spus Elliot.

„Pentru noi, în calitate de protectori, este foarte, foarte greu să oprim aceste e-mailuri”, a spus el, adăugând că, în cele mai multe cazuri, totul se reduce la capacitatea destinatarului de a-și da seama ce se întâmplă de fapt..

Town a declarat că unele mesaje care pretindeau că provin de la ea au folosit o adresă de e-mail care se termina în „.live”, în loc de contul său oficial, care se termină în „.org”, dar au copiat întreaga sa linie de semnătură. Într-un caz, a spus ea, a fost implicată într-un schimb de e-mailuri suprarealiste în care hackerul, care se dădea drept ea, a inclus-o într-un răspuns.

DePetris, membru al organizației Defense Priorities și editorialist la mai multe ziare, a declarat că e-mailurile pe care le-a primit erau scrise ca și cum un cercetător ar fi cerut realizarea unei lucrări științifice sau observații asupra unui proiect.

„Erau destul de sofisticate, cu logo-uri de think tank atașate la corespondență pentru a face să pară că solicitarea este legitimă”, a spus el. La aproximativ trei săptămâni după ce a primit falsul e-mail de la 38 North, un alt hacker s-a dat drept el, trimițând e-mailuri altor persoane pentru a se uita la un proiect, a declarat DePetris.

Acel e-mail, pe care DePetris l-a dezvăluit Reuters, oferea 300 de dolari pentru analizarea unui draft despre programul nuclear al Coreei de Nord și cerea recomandări pentru alți posibili recenzenți. Elliot a spus că hackerii nu au plătit niciodată pe nimeni pentru cercetările sau răspunsurile lor și nici nu ar intenționa să o facă.

Încearcă să obțină părerea sinceră a unor experți

Să te dai drept altcineva este o metodă obișnuită pentru spionii din întreaga lume, dar, pe măsură ce izolarea Coreei de Nord s-a adâncit din cauza sancțiunilor și a pandemiei, agențiile de informații occidentale cred că Phenianul a devenit deosebit de dependent de campaniile cibernetice, a declarat pentru Reuters o sursă de securitate din Seul, care a vorbit sub protecția anonimatului..

Într-un raport din 2022 martie, un grup de experți care investighează eludarea sancțiunilor ONU de către Coreea de Nord a enumerat acțiunile Thallium printre activitățile care „constituie spionaj destinat să ajute” la evitarea sancțiunilor de către această țară.

Town a declarat că, în unele cazuri, atacatorii au comandat lucrări, iar analiștii au furnizat rapoarte complete sau recenzii ale manuscriselor înainte de a realiza ce s-a întâmplat.

DePetris a declarat că hackerii l-au întrebat despre chestiuni la care lucra deja, inclusiv despre răspunsul Japoniei la activitățile militare ale Coreei de Nord. Un alt e-mail, care pretindea a fi un reporter de la Kyodo News din Japonia, a întrebat un membru al echipei 38 North cum crede că războiul din Ucraina a influențat gândirea Coreei de Nord și a pus întrebări despre politicile SUA, Chinei și Rusiei.

„Nu putem decât să presupunem că nord-coreenii încearcă să obțină părerea sinceră a unor experți pentru a înțelege mai bine politica americană privind Nordul și încotro s-ar putea îndrepta”, a declarat DePetris.

Spionii nord-coreeni au schimbat tactica: „Au enorm de mult succes cu această metodă foarte, foarte simplă”

Au enorm de mult succes cu această metodă foarte, foarte simplă

Au schimbat tactica, acum nici nu mai trimit malware

Oferă bani, dar fără nicio intenție de a plăti

Încearcă să obțină părerea sinceră a unor experți

MedLife continuă expansiunea la nivel național și inaugurează primul spital multidisciplinar din regiunea Oltenia

Premiera națională: echipa Spitalului MedLife Polisano Sibiu a efectuat cu succes prima mastectomie bilaterală robotică cu sistemul daVinci

MedLife, cea mai mare rețea de servicii medicale private din România, schimbă percepția românilor asupra spitalelor prin lansarea unei serii de evenimente culturale sub titlul: „Cultură și medicină: O alchimie a binelui”

#MediciBuni Dr. Ana-Maria Bota, medic primar ORL: „Tratez fiecare pacient așa cum m-aș trata pe mine însămi. Și mi se pare normal să fac asta”

#medicibuni Dr. Ioana Dumitrașcu-Biriș, medic cardiolog fetal MedLife: „Testele de ADN fetal nu pot înlocui ecografiile morfofetale în sarcină”

#medicibuni Dr. Horațiu Teodorescu, gastroenterolog MedLife: „Tusea, senzația de nod în gât și răgușeala ar trebui să aducă pacienții și la gastroenterolog“

#medicibuni Dr. Lucian Alecu, chirurg MedLife: „Dieta bazată pe alimente grase, procesate, pe consum de alcool și pe fructe dulci îmbolnăvește ficatul“

#MediciBuni – Dr. Ioana Raluca Sima: „ Cele mai multe dintre accidentele vasculare cerebrale și cazurile de demență pot fi prevenite”

#medicibuni Dr. Cătălin Magan, neurochirurg, despre o tânără cu fractură de coloană: „A ajuns la noi complet paralizată, am operat-o de urgență la MedLife Humanitas, iar acum a început să-și miște picioarele”

#medicibuni Dr. Tanita Mavriș, chirurg MedLife: „Adesea denumit «ucigașul tăcut», cancerul ovarian dă simptome precoce care pot fi confundate cu afecțiuni benigne”

MedLife prezintă tehnologia viitorului: de la drone și VR până la roboți medicali ce permit sigilarea vaselor direct de la consola chirurgului

MedLife achiziționează alți doi roboți da Vinci: „Este extraordinar că pacienții noștri vor avea acces la cea mai mare echipă de medici certificați în chirurgie robotică din România”

#medicibuni Dr. Cosmin Olariu, chirurg cardiovascular MedLife: „După 45 de ani, toți bărbații ar fi bine să fie văzuți de un cardiolog”

#medicibuni Dr. Laura Sinea, oncolog MedLife: „Cancerul mamar apare tot mai des la tinere, între 30 și 45 de ani. Este foarte important ca tratamentul să fie inițiat la timp”

#medicibuni Dr. Nicolae Florescu, cardiolog intervenționist MedLife, despre cele mai eficiente tratamente pentru afecțiunile severe ale inimii: „Am avut cazuri de mare risc, rezolvate cu bine, cu spitalizare redusă și cu evoluție ulterioară rapid favorabilă“

#medicibuni Dr. Victor Nimirceag, oncolog MedLife: „Pacientul vine deznădăjduit, cu un diagnostic greu, dar după discuția cu medicul, pleacă cu gândul că există soluții”

MedLife își consolidează poziția pe segmentul de oncologie printr-un nou parteneriat cu Institutul Sânului, extinzând serviciile dedicate tratamentului cancerului mamar

#medicibuni Dr. Cătălin Popa, chirurg MedLife: „Bărbații tineri sunt cei mai predispuși la hernia inghinală, mai ales dacă fac efort fizic într-un context nesusținut”

#medicibuni Dr. Cristian Țibea, ginecolog MedLife: „Avem o rată de succes foarte bună cu robotul, pentru că îmbină acuratețea operațiilor clasice, sau chiar mai mare, cu avantajele chirurgiei minim invazive“

După 14 diagnostice greșite, a ajuns la cel corect: un cancer urologic rar. Conf. dr. Florin Elec, urolog MedLife: „O intervenție chirurgicală cu tentativă de păstrare a rinichiului ar fi fost un dezastru pentru pacientă”

#medicibuni – Dr. Edina Iercan, medic dermatolog MedLife: „Persoanele active, care practică sporturi în aer liber, au nevoie regulat de screening dermatologic”

#medicibuni – Dr. Simina Condruz, oncolog MedLife: „Oncologia nu mai este o specialitate cu șanse mici de reușită. A progresat, avem multe terapii noi, iar pe pacient putem, de multe ori, să-l considerăm și vindecat”

#medicibuni – Dr. Claudiu Chitea, chirurg ortoped MedLife: „Sunt puține intervențiile ortopedice pe care să nu le putem face în România”

#medicibuni – Dr. Cristian Tefas, gastroenterolog MedLife : „Aproape 70% din totalul cazurilor de cancer colorectal ar putea fi prevenite dacă populația s-ar testa cu regularitate”

#medicibuni – Dr. Raluca Bidiga, pediatru MedLife: „Față de acum un deceniu, patologia pediatrică s-a schimbat. Au început să apară tot mai frecvent tiroiditele, diabetul, artritele”

Studiu MedLife: Tinerii români nu au nici informațiile, nici mijloacele necesare pentru a se proteja de bolile cu transmitere sexuală