Фото — freepik.com Північнокорейські хакери атакували спільні американо-південнокорейські військові навчання, проте секретна інформація не була викрадена.
Джерело: Reuters
Хакери КНДР атакували військові навчання США і Південної Кореї
Зазначається, що хакери, які здійснили атаку, були пов’язані з північнокорейським угрупованням “Kimsuky”. Зловмисники здійснили свій злом через електронні листи південнокорейським підрядникам, які працюють у центрі моделювання військових навчань Південної Кореї та США, йдеться у заяві поліцейського агентства провінції Кьонгі-Намбу.
Було підтверджено, що військова інформація не була викрадена, — йдеться в недільній заяві поліції.
Південнокорейська поліція і американські військові провели спільне розслідування і виявили, що IP-адреса, яка використовувалася під час спроби злому, збігається з тією, що була ідентифікована під час злому оператора ядерного реактора Південної Кореї в 2014 році.
Однак Північна Корея заперечувала свою причетність до кібератак.
Додається, що хакери з “Kimsuky” давно використовують “фішингові” електронні листи, які обманом змушують жертв повідомляти паролі або натискати на вкладення чи посилання, які завантажують шкідливе програмне забезпечення.
Південнокорейські та американські війська в понеділок розпочнуть 11-денні літні навчання Ulchi Freedom Guardian, покликані поліпшити їхню здатність реагувати на зростаючі ядерні та ракетні загрози з боку Північної Кореї.
Північна Корея заперечує проти таких навчань, заявляючи, що вони є підготовкою США та їхнього південнокорейського союзника до вторгнення в країну.
Російські хакери спрямували новий вірус проти українських військових
Зловмисну кампанію виявили дослідники з компанії Symantec, яка зараз належить Broadcom. Повідомляється, що сектори та характер організацій і комп’ютерів, на які були спрямовані атаки, могли надати зловмисникам доступ до значних обсягів конфіденційної інформації. У деяких організаціях були ознаки того, що зловмисники працювали на комп’ютерах відділів кадрів – це натякає на те, що для хакерів пріоритетною була інформація про працівників та особовий склад ЗСУ.
Групу, яку Symantec відстежує як Shuckworm, інші дослідники називають Gamaredon або Armageddon. Вона діє з 2014 року, пов’язана з ФСБ Росії та зосереджується виключно на отриманні розвідувальної інформації про українські об’єкти. У 2020 році дослідники охоронної компанії SentinelOne заявили, що ці хакери “атакували понад 5 000 окремих організацій по всій Україні, приділяючи особливу увагу районам, де дислокуються українські війська”.
У лютому Shuckworm почали розгортати нове шкідливе програмне забезпечення та командно-контрольну інфраструктуру, яка успішно проникла в систему захисту багатьох українських організацій у військовій сфері, службах безпеки та уряді, стверджує Symantec.
У цій кампанії дебютувало нове шкідливе програмне забезпечення у вигляді скрипту PowerShell, який поширює Pterodo, бекдор, створений Shuckworm. Скрипт активується, коли заражені USB-накопичувачі підключаються до комп’ютерів-мішеней. Шкідливий скрипт спочатку копіює себе на комп’ютер-жертву і створює файл швидкого доступу з розширенням rtf.lnk. Файли мають такі імена, як video_porn.rtf.lnk, do_not_delete.rtf.lnk і evidence.rtf.lnk. Назви, як пише джерело, є спробою спонукати жертв відкрити ці файли, щоб вони встановили Pterodo на комп’ютери.
Далі скрипт перераховує всі диски, підключені до комп’ютера-мішені, і копіює себе на всі підключені знімні диски, найімовірніше, в надії заразити будь-які пристрої, навмисно не підключені до інтернету, щоб запобігти їхньому злому.
Щоб замести сліди, Shuckworm створили десятки варіантів і швидко змінили IP-адреси та інфраструктуру, яку використовує для командування й контролю. Угруповання також використовує легальні сервіси, такі як Telegram і платформу мікроблогів Telegraph, для командування і контролю, щоб уникнути викриття.
