网络安全动态 ·

朝鲜黑客组织Kimsuky为何攻击俄罗斯国防工业部门?

据俄罗斯《生意人报》报道,俄罗斯网络安全研究人员指控一个与朝鲜有关的黑客组织Kimsuky,称其今年多次试图对俄罗斯的航空和国防工业进行钓鱼攻击。据报道,网络安全公司Group-IB的高级研究员阿纳斯塔西娅·蒂科诺娃(Anastasia Tikhonova)称,Kimsuky攻击俄罗斯航空航天和国防目标的方式,与朝鲜攻击其他国家航空航天和国防工业的网络钓鱼攻击类似。其策略包括经典的电子邮件假登录捕获网络钓鱼和更复杂的招聘诱饵。这些所谓的攻击加入了一个更大的趋势,即针对俄罗斯和国际航空和防务目标的朝鲜相关网络钓鱼企图。今年春天,朝鲜黑客组织Kimsuky对俄罗斯军队和工业组织进行了数次攻击。然而,这个团体的名字很特别。朝鲜黑客组织几乎打遍了主要国家的要害部门和敏感机构,目标覆盖军事、政治、外交、金融、能源、军工等,但针对俄罗斯国防工业公司的攻击,还是第一次!

朝鲜黑客组织Kimsuky为何攻击俄罗斯国防工业部门? 网络安全动态 第1张

就好像这个小组的名字是由俄语翻译成英语的,后面的部分包含着不敬。此外,还澄清了被称为Velvet Chollima(天鹅绒千里马)和Black Banshee(黑女妖)的Kimsuky集团从事网络间谍活动。

在过去的两年里,该组织对专门从事无核化(减少核武器武库)的美国研究机构,以及与加密货币有关的公司进行了攻击。

此外,今年春天,来自朝鲜的黑客利用疫情进行了恶意邮件攻击,包括利用社交网络,以获取俄罗斯航空航天和国防公司的机密信息。因此,这似乎不是第一次发生。

关于朝鲜Kimsuky黑客组织的活动,早些时候有报道称其不仅攻击了俄罗斯公司,而且还攻击了乌克兰,斯洛伐克,土耳其和韩国的公司。

Kimsuky以前主要针对韩国开展攻击活动。2015年3月,首尔指责平壤应对2014年对韩国水力和核电有限公司的袭击事件负责,该公司经营该国的23个核反应堆。此事件是迄今为止,Kimsuky实施的已知最大的攻击,当时该黑客组织入侵了韩国的核运营网络后,偷走了机密文件并将其发布在Twitter上。

关于Kimsuky组织的攻击活动的最新报道,是今年9月30日ZDNET的爆料,报道称联合国8月公布的一份报告披露,一个先前与朝鲜政权有关联的黑客组织被发现发起针对联合国的鱼叉式网络钓鱼攻击。这些袭击发生在今年,目标至少有28名联合国官员,包括至少11名代表联合国安理会6个国家的个人。

联合国官员表示,他们是在收到一个未透露姓名的联合国成员国(国家)的警告后得知这次袭击的。这次攻击被认为是名为Kimsuky的组织实施的。根据联合国的报告,Kimsuky在今年3月和4月还进行了攻击活动,包括一系列针对联合国官员Gmail账户的鱼叉式网络钓鱼活动。

从Malpedia网站的数据整理可以看到,Kimsuky组织一直很活跃,从2013年开始,直到今年3月份,都有记录在案的攻击事件。关于组织的主要攻击手法,可参阅Tracking ‘Kimsuky’, the North Korea-based cyber espionage group: Part1/part2(https://www.pwc.co.uk/issues/cyber-security-services/research/tracking-kimsuky-north-korea-based-cyber-espionage-group-part-1.html)。

朝鲜黑客组织Kimsuky为何攻击俄罗斯国防工业部门? 网络安全动态 第2张

2020年10月早些时候,朝鲜为纪念朝鲜劳动党成立75周年举行了阅兵式。在阅兵式上,一种新的国防装备亮相,专家们注意到它看起来与俄罗斯的“阿玛塔”坦克非常相似。

此外,受到攻击的俄罗斯公司之一是Rostec,俄罗斯国家技术集团。应该指出的是,Rostec并没有向媒体证实这一信息。不过,他们确实证实,从4月到9月,他们观察到针对这家国有企业资源的网络攻击数量有所增加。

Rostec还指出,大多数网络攻击的质量都很差,没有构成重大威胁。然而,显然已经作出了这种尝试。此外,俄罗斯从未真正公布全部信息,即使这次泄密事件更严重,也不会公布克里姆林宫在此类情况下可能采取的报复措施。

朝鲜黑客组织Kimsuky为何攻击俄罗斯国防工业部门? 网络安全动态 第3张

俄罗斯国家技术集团(Rostec),是一家进行军用高科技工业产品的研发、制造和出口的国有公司,集团总部设在莫斯科。

与此同时,卡巴斯基实验室网络安全专家Denis Legezo指出,来自朝鲜黑客组织的一些欺诈性信息包含了航空航天和国防工业空缺的数据。根据专家的说法,这表明了攻击者对工业间谍活动的兴趣。

多个媒体也报道了可能由同一个黑客组织对国防部门发起的攻击。因此,它可能是一个与朝鲜的联合项目,而不仅仅是朝鲜自己。甚至有媒体怀疑,是否可能是中国实施了网络攻击,但伪装成朝鲜的行动?朝鲜和中国可能会有一种共生关系。

西方媒体肆意揣测称,从当前的发展轨迹来看,中国可能以某种方式参与了此次行动,比如间接地参与其中。但遗憾的是目前没有证据表明中国参与其中,但考虑到中国之前的技术盗窃先例,这可以是一种假设。

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论