Le groupe de hackers nord-coréen Kimsuky (alias APT43) parrainé par l’État se fait passer pour des journalistes et des universitaires dans le cadre de campagnes de harponnage visant à recueillir des renseignements auprès de groupes de réflexion, de centres de recherche, d’institutions universitaires et de divers médias.

L’avertissement provient de plusieurs agences gouvernementales aux États-Unis et en Corée du Sud qui suivent l’activité des pirates et ont analysé les campagnes récentes du groupe et les thèmes utilisés pour les attaques.

Un avis conjoint du Federal Bureau of Investigation (FBI), du Département d’État américain, de la National Security Agency (NSA), aux côtés du National Intelligence Service (NIS) de Corée du Sud, de la National Police Agency (NPA) et du ministère des Affaires étrangères ( MOFA), note que Kimsuky fait partie du Bureau général de reconnaissance (RGB) de la Corée du Nord.

Aussi connu sous le nom de Thallium et Velvet Chollima, Kimsuky a mené des campagnes d’espionnage à grande échelle soutenant les objectifs nationaux de renseignement depuis au moins 2012.

« Certaines entités ciblées peuvent ignorer la menace posée par ces campagnes d’ingénierie sociale, soit parce qu’elles ne perçoivent pas leurs recherches et leurs communications comme étant de nature sensible, soit parce qu’elles ne savent pas comment ces efforts alimentent les efforts de cyberespionnage plus larges du régime », lit-on. le conseil.

« Cependant, […] la Corée du Nord s’appuie fortement sur les renseignements obtenus en compromettant les analystes politiques des compromis réussis permettent aux acteurs de Kimsuky de créer des e-mails de harponnage plus crédibles et efficaces qui peuvent être exploités contre des cibles plus sensibles et de plus grande valeur. .”

Spear-phishing en tant que journalistes
Les pirates de Kimsuky planifient et exécutent méticuleusement leurs attaques de harponnage en utilisant des adresses e-mail qui ressemblent étroitement à celles de personnes réelles et en créant un contenu convaincant et réaliste pour la communication avec la cible.

« Pendant plus d’une décennie, les acteurs de Kimsuky ont continué à affiner leurs techniques d’ingénierie sociale et ont rendu leurs efforts de harponnage de plus en plus difficiles à discerner », prévient l’avis.

Dans de nombreux cas, les pirates se font passer pour des journalistes et des écrivains pour se renseigner sur les événements politiques actuels dans la péninsule coréenne, le programme d’armement nord-coréen, les pourparlers américains, la position de la Chine, etc.

Parmi les thèmes observés, mentionnons les demandes de renseignements, les invitations à des entrevues, une enquête continue et les demandes de rapports ou de révision de documents.

Les e-mails initiaux sont généralement exempts de logiciels malveillants ou de pièces jointes, car leur rôle est de gagner la confiance de la cible plutôt que de parvenir à un compromis rapide.

Si la cible ne répond pas à ces e-mails, Kimsuky revient avec un message de suivi après quelques jours.

Le FBI affirme que malgré les efforts de l’adversaire, les e-mails en anglais ont parfois une structure de phrases et peuvent contenir des extraits entiers de la communication précédente de la victime avec des contacts légitimes, qui avaient été volés.

Lorsque la cible est sud-coréenne, le message de phishing peut contenir un dialecte nord-coréen distinct.

De plus, les adresses utilisées pour l’envoi d’e-mails de phishing usurpent celles de personnes ou d’entités légitimes ; cependant, ils contiennent toujours des fautes d’orthographe subtiles.

Comment arrêter Kimsuky
L’avis fournit un ensemble de mesures d’atténuation, notamment l’utilisation de mots de passe forts pour protéger les comptes et l’activation de l’authentification multifacteur (MFA).

De plus, il est conseillé aux utilisateurs de ne pas activer les macros sur les documents dans les e-mails envoyés par des inconnus, quelle que soit la revendication des messages.

La même prudence s’applique aux documents envoyés depuis des services d’hébergement cloud connus, car la légitimité des plateformes ne constitue pas une garantie de la sécurité de ces fichiers.

En cas de doute sur un message prétendant provenir d’un groupe de médias ou d’un journaliste, visitez le site Web officiel de cette organisation et confirmez la validité des informations de contact.

L’avis conjoint recommande d’effectuer un appel vidéo préliminaire comme stratégie efficace pour dissiper toute incertitude quant à une usurpation d’identité potentielle avant de décider de poursuivre la communication.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *