Эксперты из США по информационной безопасности выявили кибератаки на сотрудников МИД РФ накануне новогодних праздников. Об этом газета "Коммерсант", ссылаясь на исследования американских компаний Cluster25 и Black Lotus Labs.
Утверждается, что за атаками, предположительно, стоит северокорейская хакерская группировка Konni. По данным Black Lotus Labs, злоумышленники ещё в октябре начали фишинговую кампанию: одним дипломатам они разослали архивы с документами и предложили сообщить данные о статусе вакцинации, другим — ссылки на загрузку фальшивой программы для регистрации привитых в федеральном регистре вакцинированных". Якобы в результате этого была скомпрометирована учётная запись одного из сотрудников МИД РФ. Затем 20 декабря, пишет "Коммерсант", с этого аккаунта хакеры отправили фишинговое письмо замглавы министерства Сергею Рябкову.
В Cluster25 сообщили, что ещё одно письмо, которое содержало заражённый архив "поздравление.zip", 20 декабря было отправлено в адрес Посольства России в Индонезии, отправителем значилось якобы диппредставительство в Сербии.
Руководитель группы исследования угроз Group-IB Анастасия Тихонова считает, что эксперты из США могли взять примеры писем с сервиса VirusTotal, который анализирует подозрительные файлы. По её словам, одно из таких посланий было размещено там в день атаки, 20 декабря.
Хакерская группа Konni (APT37) известна с 2017 года. В своих атаках она использовала, в частности, документы, касающиеся отношений РФ и КНДР, причём киберпреступники брали тексты из публичных источников, рассказал руководитель отдела исследования угроз Positive Technologies Денис Кувшинов.
Комментарии