2020: Атака на российские ВПК-предприятия
19 октября 2020 года стало известно о хакерских атаках на военные и промышленные предприятия в России. Северокорейская группировка киберпреступников Kimsuky весной проводила вредоносные рассылки, в том числе через социальные сети, для получения конфиденциальной информации из аэрокосмических и оборонных компаний, рассказала «Коммерсанту» руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова.
По данным Telegram-канала SecAtor, в апреле 2020 года Kimsuky атаковали структуры «Ростех». В самой госкорпорации лишь подтвердили рост кибератак в последние полгода, но заявили, что большинство из них была подготовлены некачественно.
По словам Тихоновой, хакеры использовали целенаправленный фишинг. Так, в рамках одной из атак была создана поддельная страница авторизации в почтовом сервисе Outlook, которым пользовались сотрудники турецкого производителя военной техники, чтобы получить их данные для входа в рабочую почту.
Как сообщила Тихонова, группировка Kimsuky, как и более известная северокорейская группа хакеров Lazarus, занимается кибершпионажем. Эта группа также известна под именами Velvet Chollima и Black Banshee. С 2010 года хакеры из Kimsuky атаковали объекты в Южной Корее, но позднее география их атак была расширена. Предположительно, эта группа стоит за атаками на военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.
Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо говорит, что некоторые мошеннические письма северокорейских группировок содержат данные о вакансиях в аэрокосмической и оборонной отраслях. Он считает, что это свидетельствует об интересе хакеров к промышленному шпионажу.[1]