Μια hacking ομάδα που συνδέεται με το καθεστώς της Βόρειας Κορέας, πραγματοποιεί phishing επιθέσεις έχοντας ως στόχο υπαλλήλους του Συμβουλίου Ασφαλείας των Ηνωμένων Εθνών. Οι επιθέσεις, τις οποίες αποκάλυψε σε έκθεσή του ο ΟΗΕ τον περασμένο μήνα, πραγματοποιήθηκαν φέτος, με στόχο τουλάχιστον 28 αξιωματούχους του ΟΗΕ, συμπεριλαμβανομένων τουλάχιστον 11 ατόμων που εκπροσωπούν έξι χώρες του Συμβουλίου Ασφαλείας του ΟΗΕ. Οι αξιωματούχοι του ΟΗΕ ειδοποιήθηκαν για τις επιθέσεις από ένα κράτος-μέλος του ΟΗΕ, του οποίου η ταυτότητα δεν έχει αποκαλυφθεί. Πίσω από τις επιθέσεις φαίνεται να βρίσκεται μια hacking ομάδα της Βόρειας Κορέας που είναι γνωστή με την κωδική ονομασία “Kimsuky”.
Σύμφωνα με την έκθεση του ΟΗΕ, οι επιχειρήσεις της Kimsuky έλαβαν χώρα τον περασμένο Μάρτιο και τον Απρίλιο, περιλαμβάνοντας μια σειρά spear-phishing εκστρατειών που στόχευαν λογαριασμούς Gmail αξιωματούχων του ΟΗΕ.
Τα email που έστελνε η hacking ομάδα, εμφανίζονταν ως ειδοποιήσεις ασφαλείας του ΟΗΕ ή ως αιτήματα για συνεντεύξεις από δημοσιογράφους, ώστε να παρακινήσουν τους αξιωματούχους να μεταβούν σε phishing σελίδες ή να κατεβάσουν malware αρχεία στα συστήματά τους.
Η χώρα που ενημέρωσε για το γεγονός ότι αξιωματούχοι του ΟΗΕ βρέθηκαν στο στόχαστρο των επιθέσεων της Kimsuky, δήλωσε επίσης ότι παρόμοιες εκστρατείες διεξήχθησαν εναντίων μελών της δικής της κυβέρνησης, με τις επιθέσεις να πραγματοποιούνται όχι μόνο μέσω email αλλά και μέσω WhatsApp. Επιπλέον, η ίδια χώρα πληροφόρησε τον ΟΗΕ ότι η hacking ομάδα της Βόρειας Κορέας στοχεύει συγκεκριμένα άτομα καθ’όλη τη διάρκεια της κυβερνητικής τους σταδιοδρομίας.
Η έκθεση του ΟΗΕ σημείωσε επίσης ότι αυτή η εκστρατεία πραγματοποιούταν για περισσότερο από ένα χρόνο. Σε παρόμοια έκθεση που δημοσιεύθηκε τον Μάρτιο, το Συμβούλιο Ασφαλείας του ΟΗΕ αποκάλυψε άλλες δύο εκστρατείες της Kimsuky εναντίον αξιωματούχων του Συμβουλίου.
Η πρώτη περιλάμβανε μια σειρά phishing επιθέσεων με 38 διευθύνσεις email που σχετίζονται με αξιωματούχους του Συμβουλίου Ασφαλείας – όλοι τους ήταν μέλη του Συμβουλίου Ασφαλείας την περίοδο της επίθεσης.
Η δεύτερη περιλάμβανε επιχειρήσεις που περιγράφονται λεπτομερώς σε μια έκθεση του Εθνικού Οργανισμού Κυβερνοασφάλειας της Γαλλίας. Από τον Αύγουστο του 2019, αυτές οι phishing επιθέσεις στόχευαν αξιωματούχους διαφόρων χωρών, όπως της Κίνας, της Γαλλίας, του Βελγίου, του Περού και της Νότιας Αφρικής, που ήταν όλοι μέλη του Συμβουλίου Ασφαλείας του ΟΗΕ την περίοδο των επιθέσεων.
Ωστόσο, αυτές οι επιθέσεις δεν σταμάτησαν τον Απρίλιο, όπως αναφέρεται στην πιο πρόσφατη έκθεση του ΟΗΕ για τη Βόρεια Κορέα, αλλά η Kimsuky συνέχισε να στοχεύει τον ΟΗΕ, επιδιώκοντας να αποκομίσει πληροφορίες για τη λήψη αποφάσεων του οργανισμού σχετικά με υποθέσεις που αφορούν τη Βόρεια Κορέα και για πιθανά σχέδια επιβολής νέων κυρώσεων σε βάρος της ασιατικής χώρας.
Ο Sveva Vittoria Scenarelli, ανώτερος αναλυτής στην ομάδα Threat Intelligence της PwC, ο οποίος ειδικεύεται στις επιχειρήσεις της Kimsuky, ανέφερε ότι οι περισσότερες από τις επιχειρήσεις της ομάδας ήταν spear-phishing επιθέσεις, μέσω των οποίων οι χάκερς προσπαθούσαν να κλέψουν τα credentials που είχε ένα θύμα σε διάφορους διαδικτυακούς λογαριασμούς του. Άλλες spear-phishing επιχειρήσεις είχαν ως στόχο να μολύνουν τα θύματα με malware.
O Scenarelli μίλησε πιο αναλυτικά για τις επιχειρήσεις της Kimsuky χθες στο συνέδριο ασφαλείας του Virus Bulletin 2020.