NSA e FBI: Hackers Kimsuky se passam por jornalistas para roubar informações de inteligência
5 de Junho de 2023

O grupo hacker norte-coreano Kimsuky, patrocinado pelo Estado (também conhecido como APT43), tem se passado por jornalistas e acadêmicos para realizar campanhas de phishing direcionado a think tanks, centros de pesquisa, instituições acadêmicas e várias organizações de mídia, a fim de coletar informações de inteligência.

O alerta vem de múltiplas agências governamentais dos EUA e da Coreia do Sul, que estão rastreando a atividade dos hackers e analisando as campanhas recentes do grupo e os temas usados para os ataques.

Um aviso conjunto do Federal Bureau of Investigation (FBI), do Departamento de Estado dos EUA, da Agência de Segurança Nacional (NSA), juntamente com o Serviço Nacional de Inteligência (NIS), a Agência de Polícia Nacional (NPA) e o Ministério das Relações Exteriores (MOFA) da Coreia do Sul, observa que o Kimsuky faz parte do Reconnaissance General Bureau (RGB) da Coreia do Norte.

Também conhecido como Thallium e Velvet Chollima, o Kimsuky conduz campanhas de espionagem em larga escala apoiando os objetivos de inteligência nacional desde pelo menos 2012.

"Algumas entidades-alvo podem subestimar a ameaça representada por essas campanhas de engenharia social, seja porque não percebem que suas pesquisas e comunicações são sensíveis por natureza, ou porque não estão cientes de como esses esforços alimentam os esforços mais amplos de ciberespionagem do regime", diz o aviso.

"No entanto, a Coreia do Norte depende muito da inteligência obtida comprometendo analistas de políticas (...) e comprometimentos bem-sucedidos permitem que os atores do Kimsuky criem e-mails de phishing direcionados mais críveis e eficazes que podem ser alavancados contra alvos mais sensíveis e de maior valor."

Os hackers do Kimsuky planejam e executam meticulosamente seus ataques de spear-phishing, usando endereços de e-mail que se assemelham muito aos de indivíduos reais e criando conteúdo convincente e realista para a comunicação com o alvo.

"Por mais de uma década, os atores do Kimsuky continuaram a aprimorar suas técnicas de engenharia social e a tornar seus esforços de spear-phishing cada vez mais difíceis de discernir", adverte o aviso.

Em muitos casos, os hackers se passam por jornalistas e escritores para indagar sobre eventos políticos atuais na Península Coreana, o programa de armas norte-coreano, as negociações dos EUA, a postura da China e muito mais.

Entre os temas observados estão investigações, convites para entrevistas, uma pesquisa em andamento e solicitações para revisar documentos.

Os e-mails iniciais geralmente não contêm malware ou anexos, pois seu papel é ganhar a confiança do alvo em vez de conseguir uma rápida invasão.

Se o alvo não responder a esses e-mails, o Kimsuky retorna com uma mensagem de acompanhamento depois de alguns dias.

O FBI diz que, apesar dos esforços do adversário, os e-mails em inglês às vezes têm uma estrutura de frase e podem conter trechos inteiros da comunicação anterior da vítima com contatos legítimos, que foram roubados.

Quando o alvo é sul-coreano, a mensagem de phishing pode conter um dialeto norte-coreano distinto.

Além disso, os endereços usados para enviar e-mails de phishing falsificam os de pessoas ou entidades legítimas, mas sempre contêm sutis erros ortográficos.

O aviso conjunto fornece um conjunto de medidas de mitigação, que incluem o uso de senhas fortes para proteger contas e a ativação de autenticação multifator (MFA).

Além disso, os usuários são aconselhados a não habilitar macros em documentos em e-mails enviados por pessoas desconhecidas, não importa o que as mensagens afirmem.

A mesma precaução deve ser aplicada a documentos enviados de serviços de hospedagem em nuvem conhecidos, pois a legitimidade das plataformas não constitui uma garantia da segurança desses arquivos.

Quando em dúvida sobre uma mensagem que pretende ser de um grupo de mídia ou jornalista, visite o site oficial da organização e confirme a validade das informações de contato.

O aviso conjunto recomenda a realização de uma chamada de vídeo preliminar como estratégia eficaz para dispersar qualquer incerteza de possível falsificação antes de decidir se envolver em uma comunicação mais aprofundada.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...