• Чт. Мар 28th, 2024

Северокорейская хакерская группа атаковала оборонную промышленность Израиля

Израиль заявляет, что атака была «предотвращена», эксперты информационной безопасности из ClearSky опровергают эти заявления и утверждают что атака была успешной. Официальные лица опасаются, что секретные данные, украденные Северной Кореей, могут быть переданы Ирану.

В Августе 2020 года Официальные источники Израиля заявили о хакерской атаке на Оборонную промышленность Израиля. При этом официальные лица заявили что за атакой стоит Северо Корейская Хакерская группа Lasarus,

Министерство обороны Израиля заявило, что атака была отражена «в реальном времени» и что его компьютерные системы не пострадали.

Однако при проведении расследования инцидента ClearSky, международная фирма по кибербезопасности, которая первой раскрыла атаку, заявила, что северокорейские хакеры все же проникли в компьютерные системы и, вероятно, украли большой объем секретных данных. 

Этот эпизод добавляет Израиль в список стран, которые стали целью хакерского подразделения Северной Кореи , известного под псевдонимом Lazarus Group. Американские и израильские официальные лица заявили, что Lazarus Group, также известную как Hidden Cobra, пользуется поддержкой Пхеньяна.

Федеральная прокуратура США разоблачила северокорейских членов Lazarus Group в уголовном иске 2018 года, в котором говорилось, что группа работает от имени Lab 110, подразделения военной разведки Северной Кореи.

В расследовании группа обвинялась в причастности к разрушительной атаке программы-вымогателя в Северной Корее в 2017 году, известной как «WannaCry», в результате которой было парализовано 300 000 компьютеров в 150 странах; кибер-кража 81 миллиона долларов из Бангладеша в 2016 году; и сокрушительная кибератака в 2014 году на Sony Pictures Entertainment, которая привела к утечке электронных писем руководителей и уничтожила более двух третей компьютерных серверов студии.

По словам американских и британских официальных лиц, отслеживающих группу, растущая армия Северной Кореи, насчитывающая более 6000 хакеров

В апрельском отчете чиновники Государственного департамента, Министерства внутренней безопасности, Министерства финансов и ФБР обвинили Северную Корею во все более широком использовании цифровых средств для уклонения от санкций и получения доходов для своей программы создания ядерного оружия . В отчете также обвиняется Северная Корея в том, что она продает своих хакеров другим киберпреступникам и странам в так называемом «взломе по найму».

Министерство юстиции предъявило обвинение гражданину Северной Кореи Пак Джин Хёку в преступном сговоре с целью проведения нескольких кибератак в качестве члена Lazarus Group.

В последние месяцы Израиль борется с эскалацией киберконфликта с Ираном. Израиль заявил, что в апреле предотвратил кибератаку на его инфраструктуру водоснабжения, которая, по словам официальных лиц, была направлена ​​на повышение уровня хлора до опасного уровня, поскольку израильтяне были помещены в карантин дома с коронавирусом.

Израиль, обвинивший Иран, через две недели ответил кибератакой на иранский порт, в результате которой его компьютеры были отключены и в начале мая возникло движение судов вокруг иранского портового комплекса Шахид Раджаи.

По словам исследователей ClearSky, атака Северной Кореи на оборонную промышленность Израиля началась с сообщения LinkedIn в июне прошлого года. Северокорейские хакеры, выдававшие себя за хедхантеров Boeing, отправили сообщение старшему инженеру израильской государственной компании, которая производит оружие для израильских военных и разведки.

Хакеры создали фальшивый профиль в LinkedIn для хедхантера Даны Лопп. Дана Лопп является действующим старшим кадровым агентом Boeing. 

Г-жа Лопп была одной из нескольких хедхантеров из известных оборонных и аэрокосмических компаний, включая Boeing, McDonnell Douglas и BAE Systems, которым хакеры из Северной Кореи сделали фэйковые страницы в LinkedIn.

Установив контакт со своими израильскими «целями», хакеры запросили адрес электронной почты или номер телефона для подключения через WhatsApp, чтобы повысить доверие, предложили провести разговор по телефону. Некоторые из тех, кто принимал звонки, сказали, что другая сторона говорила по-английски без акцента и звучала достоверно.

Исследователи заявили, что Lazarus ранее до атаки на Израиль не применяли столь сложные способы социальной инженерии.

По итогам переговоров с «Жертвами» хакеры предложили прислать своим жертвам список требований к работе. Этот файл содержал «Трояна», далее через образованный с помощью трояна «коридор» к персональному компьютеру «Жертвы», хакерам удалось проникнуть секретные израильские сети.

Хакерская кампания стала заметным шагом по сравнению с предыдущей попыткой Северной Кореи взломать оборонную промышленность Израиля в прошлом году. В 2019 году ClearSky сообщил о несколько неуклюжих попытках Lazarus взломать компьютеры израильской оборонной корпорации, отправив электронные письма на «ломаном иврите», которые, вероятно, были написаны с «гугл» переводом. Письма сразу вызвали подозрение, и атака была остановлена.

Хакеры из Северной Кореи, похоже, усвоили урок и в середине 2019 года начали использовать LinkedIn и WhatsApp для установления контакта с рядом военных предприятий на Западе, нападая на аэрокосмические и оборонные компании в Европе и Ближнем Востоке . В августе в отчете ООН говорилось, что северокорейские хакеры использовали аналогичные методы для отслеживания должностных лиц организации и государств-членов.

Автор: Andrey Kopelyan

У самурая нет цели, у самурая есть путь.