NSA e FBI: Hackers Kimsuky se passam por jornalistas para roubar informações de inteligência
5 de Junho de 2023

O grupo hacker norte-coreano Kimsuky, patrocinado pelo Estado (também conhecido como APT43), tem se passado por jornalistas e acadêmicos para realizar campanhas de phishing direcionado a think tanks, centros de pesquisa, instituições acadêmicas e várias organizações de mídia, a fim de coletar informações de inteligência.

O alerta vem de múltiplas agências governamentais dos EUA e da Coreia do Sul, que estão rastreando a atividade dos hackers e analisando as campanhas recentes do grupo e os temas usados para os ataques.

Um aviso conjunto do Federal Bureau of Investigation (FBI), do Departamento de Estado dos EUA, da Agência de Segurança Nacional (NSA), juntamente com o Serviço Nacional de Inteligência (NIS), a Agência de Polícia Nacional (NPA) e o Ministério das Relações Exteriores (MOFA) da Coreia do Sul, observa que o Kimsuky faz parte do Reconnaissance General Bureau (RGB) da Coreia do Norte.

Também conhecido como Thallium e Velvet Chollima, o Kimsuky conduz campanhas de espionagem em larga escala apoiando os objetivos de inteligência nacional desde pelo menos 2012.

"Algumas entidades-alvo podem subestimar a ameaça representada por essas campanhas de engenharia social, seja porque não percebem que suas pesquisas e comunicações são sensíveis por natureza, ou porque não estão cientes de como esses esforços alimentam os esforços mais amplos de ciberespionagem do regime", diz o aviso.

"No entanto, a Coreia do Norte depende muito da inteligência obtida comprometendo analistas de políticas (...) e comprometimentos bem-sucedidos permitem que os atores do Kimsuky criem e-mails de phishing direcionados mais críveis e eficazes que podem ser alavancados contra alvos mais sensíveis e de maior valor."

Os hackers do Kimsuky planejam e executam meticulosamente seus ataques de spear-phishing, usando endereços de e-mail que se assemelham muito aos de indivíduos reais e criando conteúdo convincente e realista para a comunicação com o alvo.

"Por mais de uma década, os atores do Kimsuky continuaram a aprimorar suas técnicas de engenharia social e a tornar seus esforços de spear-phishing cada vez mais difíceis de discernir", adverte o aviso.

Em muitos casos, os hackers se passam por jornalistas e escritores para indagar sobre eventos políticos atuais na Península Coreana, o programa de armas norte-coreano, as negociações dos EUA, a postura da China e muito mais.

Entre os temas observados estão investigações, convites para entrevistas, uma pesquisa em andamento e solicitações para revisar documentos.

Os e-mails iniciais geralmente não contêm malware ou anexos, pois seu papel é ganhar a confiança do alvo em vez de conseguir uma rápida invasão.

Se o alvo não responder a esses e-mails, o Kimsuky retorna com uma mensagem de acompanhamento depois de alguns dias.

O FBI diz que, apesar dos esforços do adversário, os e-mails em inglês às vezes têm uma estrutura de frase e podem conter trechos inteiros da comunicação anterior da vítima com contatos legítimos, que foram roubados.

Quando o alvo é sul-coreano, a mensagem de phishing pode conter um dialeto norte-coreano distinto.

Além disso, os endereços usados para enviar e-mails de phishing falsificam os de pessoas ou entidades legítimas, mas sempre contêm sutis erros ortográficos.

O aviso conjunto fornece um conjunto de medidas de mitigação, que incluem o uso de senhas fortes para proteger contas e a ativação de autenticação multifator (MFA).

Além disso, os usuários são aconselhados a não habilitar macros em documentos em e-mails enviados por pessoas desconhecidas, não importa o que as mensagens afirmem.

A mesma precaução deve ser aplicada a documentos enviados de serviços de hospedagem em nuvem conhecidos, pois a legitimidade das plataformas não constitui uma garantia da segurança desses arquivos.

Quando em dúvida sobre uma mensagem que pretende ser de um grupo de mídia ou jornalista, visite o site oficial da organização e confirme a validade das informações de contato.

O aviso conjunto recomenda a realização de uma chamada de vídeo preliminar como estratégia eficaz para dispersar qualquer incerteza de possível falsificação antes de decidir se envolver em uma comunicação mais aprofundada.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...