O grupo hacker norte-coreano Kimsuky, patrocinado pelo Estado (também conhecido como APT43), tem se passado por jornalistas e acadêmicos para realizar campanhas de phishing direcionado a think tanks, centros de pesquisa, instituições acadêmicas e várias organizações de mídia, a fim de coletar informações de inteligência.
O alerta vem de múltiplas agências governamentais dos EUA e da Coreia do Sul, que estão rastreando a atividade dos hackers e analisando as campanhas recentes do grupo e os temas usados para os ataques.
Um aviso conjunto do Federal Bureau of Investigation (FBI), do Departamento de Estado dos EUA, da Agência de Segurança Nacional (NSA), juntamente com o Serviço Nacional de Inteligência (NIS), a Agência de Polícia Nacional (NPA) e o Ministério das Relações Exteriores (MOFA) da Coreia do Sul, observa que o Kimsuky faz parte do Reconnaissance General Bureau (RGB) da Coreia do Norte.
Também conhecido como Thallium e Velvet Chollima, o Kimsuky conduz campanhas de espionagem em larga escala apoiando os objetivos de inteligência nacional desde pelo menos 2012.
"Algumas entidades-alvo podem subestimar a ameaça representada por essas campanhas de engenharia social, seja porque não percebem que suas pesquisas e comunicações são sensíveis por natureza, ou porque não estão cientes de como esses esforços alimentam os esforços mais amplos de ciberespionagem do regime", diz o aviso.
"No entanto, a Coreia do Norte depende muito da inteligência obtida comprometendo analistas de políticas (...) e comprometimentos bem-sucedidos permitem que os atores do Kimsuky criem e-mails de phishing direcionados mais críveis e eficazes que podem ser alavancados contra alvos mais sensíveis e de maior valor."
Os hackers do Kimsuky planejam e executam meticulosamente seus ataques de spear-phishing, usando endereços de e-mail que se assemelham muito aos de indivíduos reais e criando conteúdo convincente e realista para a comunicação com o alvo.
"Por mais de uma década, os atores do Kimsuky continuaram a aprimorar suas técnicas de engenharia social e a tornar seus esforços de spear-phishing cada vez mais difíceis de discernir", adverte o aviso.
Em muitos casos, os hackers se passam por jornalistas e escritores para indagar sobre eventos políticos atuais na Península Coreana, o programa de armas norte-coreano, as negociações dos EUA, a postura da China e muito mais.
Entre os temas observados estão investigações, convites para entrevistas, uma pesquisa em andamento e solicitações para revisar documentos.
Os e-mails iniciais geralmente não contêm malware ou anexos, pois seu papel é ganhar a confiança do alvo em vez de conseguir uma rápida invasão.
Se o alvo não responder a esses e-mails, o Kimsuky retorna com uma mensagem de acompanhamento depois de alguns dias.
O FBI diz que, apesar dos esforços do adversário, os e-mails em inglês às vezes têm uma estrutura de frase e podem conter trechos inteiros da comunicação anterior da vítima com contatos legítimos, que foram roubados.
Quando o alvo é sul-coreano, a mensagem de phishing pode conter um dialeto norte-coreano distinto.
Além disso, os endereços usados para enviar e-mails de phishing falsificam os de pessoas ou entidades legítimas, mas sempre contêm sutis erros ortográficos.
O aviso conjunto fornece um conjunto de medidas de mitigação, que incluem o uso de senhas fortes para proteger contas e a ativação de autenticação multifator (MFA).
Além disso, os usuários são aconselhados a não habilitar macros em documentos em e-mails enviados por pessoas desconhecidas, não importa o que as mensagens afirmem.
A mesma precaução deve ser aplicada a documentos enviados de serviços de hospedagem em nuvem conhecidos, pois a legitimidade das plataformas não constitui uma garantia da segurança desses arquivos.
Quando em dúvida sobre uma mensagem que pretende ser de um grupo de mídia ou jornalista, visite o site oficial da organização e confirme a validade das informações de contato.
O aviso conjunto recomenda a realização de uma chamada de vídeo preliminar como estratégia eficaz para dispersar qualquer incerteza de possível falsificação antes de decidir se envolver em uma comunicação mais aprofundada.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...