Οταν ο Daniel DePetris, αναλυτής εξωτερικών υποθέσεων με έδρα τις ΗΠΑ, έλαβε ένα email τον Οκτώβριο από τη διευθύντρια του think tank North 38 που του ανέθετε ένα άρθρο, έμοιαζε κάτι σύνηθες. Δεν ήταν.
Ο αποστολέας, σύμφωνα με εκτενές ρεπορτάζ του Reuters, ήταν στην πραγματικότητα ένας ύποπτος Βορειοκορεάτης κατάσκοπος που αναζητούσε πληροφορίες, όπως λένε οι εμπλεκόμενοι και τρεις ερευνητές στον τομέα της κυβερνοασφάλειας.
Αντί να μολύνει τον υπολογιστή του και να κλέψει ευαίσθητα δεδομένα, όπως κάνουν συνήθως οι χάκερ, ο αποστολέας φαινόταν να προσπαθεί να εκμαιεύσει τις σκέψεις του για θέματα ασφάλειας της Βόρειας Κορέας προσποιούμενος τη διευθύντρια του North 38, Τζένι Τάουν.
«Συνειδητοποίησα ότι κάτι δεν πήγαινε καλά όταν επικοινώνησα με το άτομο για διευκρινιστικές ερωτήσεις, ανακαλύπτοντας στην πραγματικότητα ότι δεν υπήρχε κανένα αίτημα και ότι αυτό το άτομο ήταν επίσης στόχος» είπε ο ΝτεΠέτρις στο Reuters αναφερόμενος στην Τάουν. «Ετσι κατάλαβα πολύ γρήγορα ότι αυτή ήταν μια ευρέως διαδεδομένη πρακτική».
Το email είναι μέρος μιας νέας εκστρατείας χωρίς προηγούμενο από μια ύποπτη βορειοκορεατική ομάδα χάκερ, σύμφωνα με τους ειδικούς στον κυβερνοχώρο, πέντε στοχευμένα άτομα και emails που εξετάστηκαν από το Reuters.
Η ομάδα χάκερ, στην οποία οι ερευνητές έδωσαν το παρατσούκλι, μεταξύ άλλων, «Thallium» ή «Kimsuky», χρησιμοποιεί εδώ και καιρό emails «ψαρέματος» που εξαπατούν στόχους ώστε να παραδώσουν κωδικούς πρόσβασης ή να κάνουν κλικ σε συνημμένα ή συνδέσμους που φορτώνουν κακόβουλο λογισμικό. Τώρα, ωστόσο, φαίνεται επίσης να ζητεί απλώς από ερευνητές ή άλλους ειδικούς να τους παράσχουν τις απόψεις τους ή να συντάξουν εκθέσεις.
Σύμφωνα με μηνύματα ηλεκτρονικού ταχυδρομείου που εξετάστηκαν από το Reuters, μεταξύ των άλλων ζητημάτων που τέθηκαν ήταν η αντίδραση της Κίνας σε περίπτωση νέας πυρηνικής δοκιμής και εάν θα μπορούσε να δικαιολογηθεί μια «πιο ήπια» προσέγγιση στην «επιθετικότητα» της Βόρειας Κορέας.
«Οι επιτιθέμενοι έχουν μεγάλη επιτυχία με αυτή την ιδιαίτερα απλή μέθοδο» είπε ο Τζέιμς Ελιοτ του Κέντρου Πληροφοριών Απειλών της Microsoft (MSTIC), ο οποίος πρόσθεσε ότι η νέα τακτική εμφανίστηκε για πρώτη φορά τον Ιανουάριο. «Οι επιτιθέμενοι άλλαξαν εντελώς τη διαδικασία». Η MSTIC είπε ότι εντόπισε «πολλαπλούς» ειδικούς της Βόρειας Κορέας που παρείχαν πληροφορίες σε λογαριασμό της «Thallium».
Οι ειδικοί και οι αναλυτές που στοχεύουν έχουν επιρροή στη διαμόρφωση της διεθνούς κοινής γνώμης και της πολιτικής των ξένων κυβερνήσεων έναντι της Βόρειας Κορέας, δήλωσαν οι ερευνητές κυβερνοασφάλειας. Εκθεση του 2020 από κυβερνητικές υπηρεσίες κυβερνοασφάλειας των ΗΠΑ ανέφερε ότι η «Thallium» λειτουργεί από το 2012 και «πιθανότατα έχει ανατεθεί από το καθεστώς της Βόρειας Κορέας μια παγκόσμια αποστολή συλλογής πληροφοριών».
Η «Thallium» στόχευε ιστορικά κρατικούς υπαλλήλους, δεξαμενές σκέψης, ακαδημαϊκούς και οργανώσεις ανθρωπίνων δικαιωμάτων, σύμφωνα με τη Microsoft.
«Οι επιτιθέμενοι παίρνουν τις πληροφορίες απευθείας από πρώτο χέρι και δεν χρειάζεται να κάθονται και να κάνουν ερμηνείες, εφόσον τις παίρνουν απευθείας από τον ειδικό» είπε ο Ελιοτ.
Νέες τακτικές
Οι Βορειοκορεάτες χάκερ είναι γνωστοί για επιθέσεις που απομυζούν εκατομμύρια δολάρια, στοχεύουν τη Sony Pictures για μια ταινία που θεωρείται προσβλητική για τον ηγέτη της και κλέβουν δεδομένα από φαρμακευτικές και αμυντικές εταιρείες, ξένες κυβερνήσεις κ.λπ.
Η πρεσβεία της Βόρειας Κορέας στο Λονδίνο δεν απάντησε σε αίτημα του Reuters να σχολιάσει, αλλά αρνήθηκε ότι εμπλέκεται σε κυβερνοεγκλήματα.
Σε άλλες επιθέσεις, η «Thallium» και άλλοι χάκερ έχουν ξοδέψει βδομάδες και μήνες αναπτύσσοντας εμπιστοσύνη με έναν στόχο πριν στείλουν κακόβουλο λογισμικό, δήλωσε ο Saher Naumaan, κύριος αναλυτής πληροφοριών απειλών στην BAE Systems Applied Intelligence.
Ωστόσο, σύμφωνα με τη Microsoft, η ομάδα πλέον συνεργάζεται και με ειδικούς, σε ορισμένες περιπτώσεις χωρίς να στέλνει κακόβουλα αρχεία ή συνδέσμους ακόμα και μετά την ανταπόκριση των θυμάτων.
Αυτή η τακτική μπορεί να είναι πιο γρήγορη από το χακάρισμα του λογαριασμού κάποιου και η ανάγνωση των emails του, παρακάμπτει τα παραδοσιακά προγράμματα ασφαλείας που σαρώνουνν και θα επισημαίνουν μηνύματα με κακόβουλα στοιχεία και προσφέρει στους κατασκόπους άμεση πρόσβαση στις απόψεις των ειδικών, είπε ο Ελιοτ.
«Για εμάς, ως ειδικούς της κυβερνοασφάλειας, είναι πραγματικά πολύ δύσκολο να σταματήσουμε αυτά τα emails» είπε, προσθέτοντας ότι στις περισσότερες περιπτώσεις επαφίεται στην αντίληψη του παραλήπτη.
Η Τάουν σημείωσε ότι ορισμένα μηνύματα που υποτίθεται ότι προέρχονταν από αυτήν είχαν χρησιμοποιήσει διεύθυνση ηλεκτρονικού ταχυδρομείου που τελείωνε σε «.live» αντί για τον επίσημο λογαριασμό της, που τελειώνει σε «.org», αλλά είχαν αντιγράψει την πλήρη υπογραφή της. Σε μια περίπτωση, είπε, συμμετείχε σε μια σουρεαλιστική ανταλλαγή emails, στην οποία ο ύποπτος εισβολέας, υποδυόμενος την ίδια, τη συμπεριέλαβε σε απάντηση.
Ο ΝτεΠέτρις, συνεργάτης της Defend Priorities και αρθρογράφος πολλών εφημερίδων, ανέφερε ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου που έλαβε ήταν γραμμένα, θαρρείς, από έναν ερευνητή που ζητούσε υποβολή εργασίας ή σχολίων σε ένα προσχέδιο. «Ηταν αρκετά περίπλοκα, με λογότυπα από think tanks συνημμένα στην αλληλογραφία για να φαίνεται σαν να νόμιμη έρευνα» δήλωσε.
Περίπου τρεις εβδομάδες μετά τη λήψη του πλαστού email από τη North 38, ένας δεύτερος χάκερ υποδύθηκε τον ίδιο, στέλνοντας email σε άλλους για να δουν ένα προσχέδιο, είπε ο ΝτεΠέτρις. Αυτό το email, το οποίο ο ίδιος μοιράστηκε με το Reuters, πρόσφερε 300 δολάρια για την επιμέλεια ενός χειρογράφου για το πυρηνικό πρόγραμμα της Βόρειας Κορέας και ζητούσε συστάσεις για άλλους πιθανούς επιμελητές. Ο Ελιοτ είπε ότι οι χάκερ δεν πλήρωσαν ποτέ κανέναν για την έρευνα ή τις απαντήσεις τους και δεν είχαν ποτέ την πρόθεση να το κάνουν.
Συγκέντρωση πληροφοριών
Η πλαστοπροσωπία αποτελεί κοινή μέθοδο μεταξύ των κατασκόπων σε όλο τον κόσμο, αλλά καθώς η απομόνωση της Βόρειας Κορέας έχει αυξηθεί από τις κυρώσεις και την πανδημία, οι δυτικές υπηρεσίες πληροφοριών πιστεύουν ότι η Πιονγιάνγκ εξαρτάται από εκστρατείες στον κυβερνοχώρο, δήλωσε στο Reuters μια πηγή της εθνικής ασφάλειας από τη Σεούλ, ζητώντας ανωνυμία προκειμένου να συζητήσει θέματα πληροφοριών.
Σε έκθεση του Μαρτίου 2022, ομάδα εμπειρογνωμόνων που διερευνά τις κυρώσεις του ΟΗΕ στη Βόρεια Κορέα κατέγραψε τις προσπάθειες της «Thallium» μεταξύ των δραστηριοτήτων που «αποτελούν κατασκοπεία και που αποσκοπούν στην ενημέρωση και βοήθεια» για την αποφυγή κυρώσεων κατά της χώρας.
Η Τάουν ανέφερε ότι σε ορισμένες περιπτώσεις οι επιτιθέμενοι ζήτησαν έγγραφα και οι αναλυτές είχαν παράσχει πλήρεις εκθέσεις ή επιμέλειες χειρογράφων πριν συνειδητοποιήσουν τι είχε συμβεί.
Ο ΝτεΠέτρις είπε ότι οι χάκερ τον ρώτησαν για ζητήματα στα οποία εργαζόταν ήδη, συμπεριλαμβανομένης της απάντησης της Ιαπωνίας στις στρατιωτικές δραστηριότητες της Βόρειας Κορέας.
Ενα άλλο email, που υποτίθεται ότι προερχόταν από δημοσιογράφο του Kyodo News της Ιαπωνίας, ρώτησε έναν υπάλληλο της North 38 τον τρόπο που πίστευε ότι ο πόλεμος στην Ουκρανία συνέβαλε στην άποψη για τη Βόρεια Κορέα και έθεσε ερωτήσεις σχετικά με τις πολιτικές των ΗΠΑ, της Κίνας και της Ρωσίας.
«Μπορεί κανείς μόνο να υποθέσει ότι οι Βορειοκορεάτες προσπαθούν να πάρουν ειλικρινείς απόψεις από τα μέλη των think tanks για να κατανοήσουν καλύτερα την πολιτική των ΗΠΑ κατά της χώρας και πού μπορεί αυτή να οδηγηθεί» είπε ο ΝτεΠέτρις.
Πηγή: Reuters