Svet čelí hrozbe zo strany severokórejských kybernetických útočníkov, ktorí sa momentálne zameriavajú na spearphishingové kampane. Národné centrum kybernetickej bezpečnosti SK-CERT na svojom webe varuje, že kyberútoky pochádzajú od rôznych skupín podporovaných KĽDR, no najvýraznejšou z nich je Kimsuky.

Ako vysvetľuje SK-CERT, v spearphishingovej kampani sa útočníci vydávajú za novinárov alebo akademických pracovníkov a ich cieľom je získať prístup k informáciám a dokumentom o „politických udalostiach, zahranično-politických stratégiách a diplomatických postojoch, ktoré by mohli mať vplyv na režim  KĽDR, jej jadrový program a podobne“.

Ide o globálnu hrozbu

Okrem Národného centra kybernetickej bezpečnosti SK-CERT o tejto hrozbe informovali v spoločných varovaniach aj orgány USA, Nemecka a Južnej Kórey. Prvé spoločné varovanie pred skupinou Kimsuky vydalinemecké a juhokórejské orgány v marci 2023, vzhľadom k narastajúcej hrozbe vydali dňa 1. júna 2023 ďalšie varovanie orgány USA a Južnej Kórey.

„Z predmetných varovaní vyplýva, že hrozba zo strany skupiny Kimsuky je globálna a môže mať dosah na subjekty štátneho i súkromného sektora,“ hodnotí situáciu SK-CERT. „Útočníci sa zameriavajú najmä na pracovníkov think-tankov, výskumných centier, akademických inštitúcií, médií a mediálnych organizácií, vládnych inštitúcií a diplomatov, a to na území USA, Južnej Kórey a Európy.“

Podľa dostupných informácií je skupina Kimsuky súčasťou špionážnych aktivít KĽDR a jej primárnym cieľom je zber spravodajských informácií, ktoré by mohli predstavovať hrozbu pre stabilitu režimu v Severnej Kórey – či už z politického, vojenského alebo ekonomického hľadiska.

Používajú pokročilé postupy

Severokórejskí útočníci často preberajú identitu skutočných ľudí a používajú e-mailové adresy, ktoré imitujú adresy skutočných novinárov a médií. Napríklad používajú tvar domény „@XYZkoreas.news“, pričom skutočná doména je „@XYZnews.com“. V niektorých prípadoch dokážu skompromitovať e-mailovú adresu skutočného novinára alebo média, z ktorej si následne nechajú automaticky a nenápadne preposielať e-maily.

„Vytvárajú tiež falošné, ale veľmi realistické verzie skutočných webových stránok alebo mobilných aplikácií pomocou ktorých navádzajú potenciálne obete, aby zadávali či už svoje prístupové údaje alebo iné informácie, o ktoré majú záujem,“ uvádza SK-CERT.

Aby svoju obeť zaujali, zvyčajne prídu so žiadosťou o rozhovor, prieskumom medzi odborníkmi, žiadosťou o recenziu dokumentu, ponukou odmeny za výskumnú činnosť a podobne. SK-CERT však upozorňuje, že prvý e-mail zvyčajne slúži na získanie dôvery obete a neobsahuje žiaden škodlivý obsah.

S odstupom času však útočníci začnú posielať škodlivé e-maily, ktoré môžu obsahovať nebezpečný kód v podobe makra vloženého do zdanlivo neškodného dokumentu v známom formáte – napríklad súbory s .pdf alebo .docx príponou.

„Tento dokument je buď priložený priamo k e-mailu, alebo email obsahuje odkaz na dokument uložený na niektorej platforme pre zdieľanie súborov, ako je napríklad Google Drive alebo Microsoft OneDrive. Škodlivé dokumenty vyžadujú, aby používateľ na zobrazenie dokumentu klikol na „Povoliť makrá“,“ špecifikuje Národné centrum kybernetickej bezpečnosti SK-CERT.

Na čo si dať pozor?

Rozpoznať spearphishingové útoky je čoraz ťažšie, keďže útočníci svoje metódy a postupy neustále zdokonaľujú. Vždy ide o dôkladne pripravený kybernetický útok, aj tak sa ale nájdu opakujúce sa znaky toho, že ide o podvod.

Veľmi častým znakom je bez ohľadu na použitý jazyk fakt, že e-maily útočníkov môžu obsahovať pravopisné chyby alebo zvláštnu vetnú skladbu. Okrem gramatiky a slovosledu sa tiež vyplatí skontrolovať e-mailovú adresu odosielateľa, v ideálnom prípade ju porovnať so skutočnou e-mailovou adresou osoby, za ktorú by sa útočník mohol snažiť vydávať.

Úplnou samozrejmosťou by pre Slovákov malo byť používanie silných unikátnych hesiel či dvojfaktorovej autentifikácie prostredníctvom ďalšieho zariadenia ako smartfón. Vyhýbaj sa autentifikácii pomocou SMS a e-mailu, ktoré mohol zneužiť útočník.

Taktiež by malo byť samozrejmosťou pravidelné aktualizovanie súkromných aj pracovných zariadení. Vypláca sa tiež používanie antivírusu, SK-CERT však zdôrazňuje, že by malo ísť o antivírus od renomovaného vývojára.

„Ak máte podozrenie na phishing a neviete si overiť totožnosť odosielateľa emailu, navrhnite komunikáciu prostredníctvom telefónu alebo video hovoru. Útočníci sa často snažia vyhýbať hlasovej/video komunikácii,“ odporúča Národné centrum kybernetickej bezpečnosti SK-CERT.