.
Os Estados Unidos e a República da Coreia emitiram um consultoria conjunta de segurança cibernética [PDF] sobre o grupo de crimes cibernéticos “Kimsuky” da Coreia do Norte.
O aviso veio depois que a República Popular Democrática da Coreia (RPDC, também conhecida como Coreia do Norte) no início desta semana tentou e não conseguiu lançar um satélite de vigilância. Em seu comunicado conjunto, as autoridades norte-americanas e sul-coreanas disseram que Kimsuky tem como alvo “think tanks, instituições acadêmicas e agências de notícias… com o objetivo de coletar informações”. O Sul diz que a gangue também está envolvida no roubo de informações usadas pelo programa de satélite da RPDC.
O Ministério das Relações Exteriores do Sul vinculou a quadrilha – e sua propensão a informações sobre assuntos militares e aeroespaciais – ao fracasso do lançamento do satélite desta semana.
Qualquer que seja seu alvo, a tática preferida de Kimsuky para obter acesso a seus alvos é a engenharia social – especialmente o spear phishing.
Um sinal revelador de um e-mail de Kimsuky é alegar ser de um meio de comunicação ou instituição acadêmica respeitável, mas usando um URL que não corresponde exatamente ao site dessa organização. Os destinatários costumam ser elogiados com comentários sobre a excelência de suas credenciais ou percepções e questionados se estão dispostos a preencher um questionário em troca de um pagamento.
O documento que contém o questionário está limpo, mas o documento de acompanhamento que solicita detalhes da conta bancária geralmente contém macros maliciosas que “estabelecem conexões discretas com a infraestrutura de comando e controle Kimsuky e resultam no fornecimento de acesso ao dispositivo do alvo”.
A infecção com outras formas de malware pode seguir.
Outra tática de Kimsuky é criar “versões falsas, mas realistas, de sites, portais ou aplicativos móveis reais” para que as vítimas façam logon usando suas credenciais para a versão real do site. Esses créditos são obviamente coletados pela gangue do crime e usados para acessar o site real e coletar informações de interesse.
A assessoria conjunta recomenda prestar atenção às descrições da atividade de Kimsuky conforme descrito acima e com mais profundidade no documento.
Ele também sugere as duas práticas a seguir como possíveis mitigações:
- Não habilite macros em documentos recebidos por e-mail, a menos que a fonte seja verificada;
- Não abra documentos de serviços de hospedagem em nuvem quando compartilhados por e-mail, a menos que a fonte seja verificada.
Essas atividades, em muitas organizações, exigirão muita educação!
Mas se isso ajuda a conter os ataques da RPDC, esse esforço vale a pena.
O Sul decidiu que uma maneira de atenuar seu vizinho desagradável é com sanções impostas diretamente a Kimsuky – ele nomeou um par de carteiras criptográficas que agora estão fora dos limites pela lei local. ®
.
