Хакерская группировка Konni, связанная с подконтрольной Северной Корее Kimsuky, провела несколько кибератак на российские госучреждения, в том числе Министерство иностранных дел РФ и российское посольство в Индонезии. Об этом сообщается в отчете южнокорейской компании Genians, специализирующейся на кибербезопасности.
В докладе отмечается, что хакеры использовали те же тактики и методы, как при атаках на южнокорейские структуры и компании. В частности, в январе 2022 года члены группировки рассылали российским дипломатам фишинговые письма с новогодними поздравлениями, пытаясь заразить их устройства вредоносным ПО.
В других случаях в качестве темы писем использовались проверка налоговых деклараций, стипендии для северокорейских студентов-перебежчиков и финансовые вопросы. После запуска приложенного к письму файла хакеры получали полный контроль над устройствами жертв.
В феврале 2024 года отчет об атаках Konni на Россию опубликовала немецкая компания по кибербезопасности DCSO. По данным расследования, для заражения компьютеров российских дипломатов Konni использовала вирусы, замаскированные под специальную программу для пересылки статистики из зарубежных консульских учреждений в МИД по защищенному каналу. Там упоминаются и более ранние случаи атак Konni на российские учреждения.
В начале 2022 года российские СМИ писали о северокорейской хакерской атаке на российский МИД со ссылкой на исследований американских компаний по кибербезопасности. Тогда утверждалось, что была скомпрометирована учетная запись одного из сотрудников МИДа, с которой отправили фишинговое письмо заместителю министра Сергею Рябкову.
По данным из отчета южнокорейской компании, история группировки Konni берет свое начало в 2014 году. И сейчас, спустя 10 лет, она продолжает свою деятельность, и атаки на Россию "идут одна за другой с 2021 года по настоящее время". При этом эксперты предупреждают, что мишенью хакеров становятся не только российские госструктуры, но и любые другие, занимающиеся финансами и виртуальными активами.
комментарии