МОСКВА, 19 окт — ПРАЙМ. Северокорейская хакерская группировка Kimsuky заинтересовалась российскими военными и промышленными организациями, сообщили "Коммерсанту" эксперты по кибербезопасности.

Как рассказала руководитель отдела исследования сложных угроз Group-IB Анастасия Тихонова, этой весной хакеры воспользовались пандемией коронавирусной инфекции и осуществляли вредоносные рассылки, в том числе через соцсети, чтобы получить конфиденциальную информацию из аэрокосмических и оборонных компаний.

По данным Telegram-канала SecAtor, в апреле Kimsuky атаковали "Ростех". В дочерней компании "Ростеха" — "РТ-Информ", которая занимается информационной безопасностью, эти данные не подтвердили и не опровергли, отметив увеличение числа инцидентов и кибератак на ресурсы корпорации и ее организаций с апреля по сентябрь.

В компании считают, что большая часть атак были некачественно подготовлены и не несли существенной угрозы, но это могло быть подготовкой, "прощупыванием почвы" для нанесения более серьезного удара по информационной системе корпорации.

По словам Тихоновой, Kimsuky, которая известна под именами Velvet Chollima, Black Banshee, начиная с 2010 года активно атаковала объекты в Южной Корее, однако впоследствии расширила географию атак. Как рассказала эксперт, предполагается, что Kimsuky атаковала военные организации в сфере производства артиллерийской техники и бронетехники в России, Украине, Словакии, Турции и Южной Корее.

Исходя из доступных в интернете документам, хакеры применяли целенаправленный фишинг — то есть мошеннические рассылки.

В некоторых документах-приманках хакерских группировок, которые принято относить к КНДР, стали содержаться сведения о вакансиях в аэрокосмической и оборонной отраслях. Как отмечает эксперт по кибербезопасности "Лаборатории Касперского" Денис Легезо, это позволяет предположить, что промышленный шпионаж также вошел в сферу интересов этих групп. До этого подобные группировки занимались кибершпионажем, связанным с политикой, или коммерческими проектами, к примеру, атакуя криптобиржи.

Большая часть организаций, на которые нацелены хакеры, находились в Соединенных Штатах и Южной Корее, рассказал ведущий специалист группы исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Денис Кувшинов.

Среди самых масштабных атак Kimsuky — взлом сети южнокорейского оператора 23 ядерных реакторов, который произошел в 2014 году. Тогда хакеры похитили конфиденциальные документы и опубликовывали их в Twitter-аккаунте "борцов с ядерной энергетикой с Гавайских островов". В 2018–2019 годах взломщики атаковали исследовательские институты в США, которые специализируются на вопросах денуклеаризации, а также компании, связанные с криптовалютами.