Upozornenie na spearphishingové aktivity severokórejských hackerských skupín
Národný bezpečnostný úrad upozorňuje na potenciálne hrozby kybernetických útokov v súvislosti s nárastom prípadov využívania techník sociálneho inžinierstva zo strany hackerských skupín, ktoré sú podporované KĽDR. Najvýraznejšia z týchto skupín je Kimsuky (APT 43).
Ich aktivity sa zameriavajú na spearphishingové kampane, v ktorých sa útočníci vydávajú za novinárov alebo akademických pracovníkov s cieľom získať informácie a dokumenty o politických udalostiach, zahranično-politických stratégiách a diplomatických postojoch, ktoré by mohli mať vplyv na režim KĽDR, jej jadrový program a podobne.
Útočníci sa zameriavajú najmä na pracovníkov think-tankov, výskumných centier, akademických inštitúcií, médií a mediálnych organizácií, vládnych inštitúcií a diplomatov, a to na území USA, Južnej Kórey a Európy.
Skupina Kimsuky, ako aj iné severokórejské hackerské skupiny, sú súčasťou špionážnych aktivít Severnej Kórey s cieľom zhromažďovať spravodajské informácie, ktoré by mohli predstavovať akúkoľvek politickú, vojenskú alebo ekonomickú hrozbu pre bezpečnosť a stabilitu režimu KĽDR.
Vzhľadom k narastajúcej hrozbe vydali dňa 1. júna 2023 vládne orgány USA a Južnej Kórey spoločné varovanie pred takýmito aktivitami v nadväznosti na varovanie pred skupinou Kimsuky z marca 2023, ktoré vydali spoločne nemecký spolkový úrad na ochranu ústavy (BfV) a juhokórejská spravodajská služba (NIS). Z predmetných varovaní vyplýva, že hrozba zo strany skupiny Kimsuky je globálna a môže mať dosah na subjekty štátneho i súkromného sektora.
Hackerské aktivity skupiny Kimsuky sa vyznačujú nasledovnými charakteristickými znakmi:
- Útočníci si vytvárajú emailové adresy, ktoré imitujú adresy reálnych médií novinárov ako napríklad email s použitím domény „@XYZkoreas.news“, pričom skutočnou doménou je „@XYZnews.com“. Z takto vytvorených emailových adries potom posielajú emaily so škodlivým obsahom.
- Na zaujatie pozornosti svojej obete používajú témy ako napríklad žiadosť o rozhovor, prieskum medzi odborníkmi, žiadosť o recenziu dokumentu, ponuka odmeny za výskumnú činnosť a pod.
- Na zvýšenie dôveryhodnosti preberajú identitu skutočných ľudí – pred kontaktovaním svojho cieľa útočníci kompromitujú e-mailové účty osoby, za ktorú sa vydávajú, zneužijú zoznam kontaktov, resp. predchádzajúce e-mailové komunikácie.
- Prvý email ešte nemusí obsahovať škodlivý softvér, väčšinou je určený iba na získanie si dôvery svojho cieľa. Následne, s odstupom času, posielajú e-mail už so škodlivým obsahom.
- Účet, zariadenie alebo sieť patriacu ich cieľu sa pokúsia infikovať škodlivým kódom vo forme makra vloženého do dokumentu (napr. Microsoft Word). Tento dokument je buď priložený priamo k e-mailu, alebo email obsahuje odkaz na dokument uložený na niektorej platforme pre zdieľanie súborov, ako je napríklad Google Drive alebo Microsoft OneDrive. Škodlivé dokumenty vyžadujú, aby používateľ na zobrazenie dokumentu klikol na „Povoliť makrá“.
- Vytvárajú tiež falošné, ale veľmi realistické verzie skutočných webových stránok alebo mobilných aplikácií pomocou ktorých navádzajú potenciálne obete, aby zadávali či už svoje prístupové údaje alebo iné informácie, o ktoré majú záujem (Kompromitovanie cieľového účtu môže viesť k trvalému prístupu ku komunikácii obete. Útočníci Kimsuky sú tiež známi tým, že konfigurujú e-mailový účet obete tak, aby nepozorovane preposielal všetky e-maily na e-mail kontrolovaný útočníkom).
- Bez ohľadu na jazykové variácie, e-maily útočníkov môžu obsahovať pravopisné chyby alebo zvláštnu vetnú skladbu.
- Útočníci svoje útoky dôkladne pripravujú a neustále zdokonaľujú svoje metódy, ktoré sa tak stávajú čoraz ťažšie rozpoznateľnými.
Na základe týchto skutočností Národný bezpečnostný úrad pre bežných používateľov elektronickej komunikácie odporúča dodržiavať nasledovné odporúčania:
- V online komunikácii dodržiavajte všetky pravidlá kybernetickej hygieny:
-
- Neotvárajte neoverené správy a správy od neznámych používateľov
- Neotvárajte podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
- Zakážte povoľovanie makier v dokumentoch
- Neotvárajte URL odkazy vzbudzujúce podozrenie
- V prípade využívania emailových aplikácií vypnite funkciu náhľadu do prílohy
- V prípade podozrenia overte obsah správy u odosielateľa inou formou (telefonicky, osobne)
- Nikdy nereagujte na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
- Nepovoľujte makrá na dokumentoch prijatých e-mailom, pokiaľ si neoveríte ich zdroj.
- Neotvárajte dokumenty z cloudových hostingových služieb zdieľaných prostredníctvom e-mailu, pokiaľ nemáte istotu kto je ich odosielateľom.
- Dôkladne kontrolujte totožnosť odosieľateľa správy.Mimoriadne opatrní buďte najmä v súvislosti s:
- oficiálnymi správami prichádzajúcimi z neoficiálnych alebo osobných e-mailových účtov (napríklad z voľne dostupných e-mailových služieb ako gmail),
- variáciami domén/subdomén, keďže útočníci môžu napodobniť doménu, resp. email tak, že je ťažko rozoznateľný od oficiálnej domény. (napr. [email protected] vs. [email protected]).
- Na komunikáciu s inými osobami použite ich adresu, ktorá je overená a ktorú ste používali už v minulosti.
- Ak máte pochybnosti o pravosti alebo správnosti emailovej adresy, overte si ju na oficiálnej webovej stránke organizácie.
- Namiesto kliknutia na URL odkaz v emaile, použite prístup na webové stránky prostredníctvom nesponzorovaných výsledkov internetového vyhľadávača.
- Zvýšte obozretnosť pokiaľ Vám niekto navrhne, aby ste v už prebiehajúcej komunikácii pokračovali na odlišnej komunikačnej platforme.
- Ak máte podozrenie na phishing a neviete si overiť totožnosť odosielateľa emailu, navrhnite komunikáciu prostredníctvom telefónu alebo video hovoru.Útočníci sa často snažia vyhýbať hlasovej/video komunikácii.
- Ak máte podozrenie na phishing a overenie totožnosti odosielateľa emailu nie je nijako možné, neodpovedajte, neklikajte na odkazy ani neotvárajte prílohy. Vždy je lepšie nejaký email ignorovať, než sa nechať nachytať na phishing.
- Na prístup k svojim kontám a službám (bez ohľadu na to, či sú pracovné alebo súkromné) používajte silné heslá alebo heslové frázy (niekoľko slov oddelených medzerou). Do každého konta alebo služby používajte jedinečné, neopakované heslá. Takéto heslá nemôžu byť ani podobné (rovnaké za sebou idúce znaky, zmeny v niektorých znakoch a podobne).
- Všade, kde to je možné, zapnite viacfaktorovú autentifikáciu. Ako druhý faktor používajte rôzne autentifikačné mechanizmy, ako napríklad jednorázovo generované heslá, fyzické tokeny, biometriu a podobne. Vyhábajte sa autentifikácii pomocou SMS a e-mailu, ktoré mohol zneužiť útočník.
- Pravidelne aktualizujte svoje zariadenia (PC, notebooky, mobily, tablety, inteligentné zariadenia a iné) a to nie len ich operačný systém, ale aj softvér a aplikácie, ktorý na nich používate. Zapnite si možnosť automatickej aktualizácie zariadenia. Na aktualizáciu nečakajte a vykonajte ju hneď, ako výrobca vydal aktualizáciu.
- Používajte aditívne možnosti ochrany, ako napríklad antivírusový program. Vyhnite sa softvéru, ktorý je pooužívaný zadarmo a bez recenzií či používateľskej skúsenosti a uprednostnite renomovaných výrobcov.
Pre správcov systémov Národný bezpečnostný úrad odporúča:
- Zabezpečte pravidelné tréningy a školenia používateľov, ktoré ich pripravia na to, ako reagovať na techniky sociálneho inžinierstva.
- Nastavte systémy tak, aby vyžadovali viacfaktorové overenie (MFA) pre všetky služby, ktoré to dovoľujú (najmä pre e-mail, VPN, účty, ktoré majú prístup ku kritickým systémom a pre privilegované účty).
- Monitorujte aktivity vo vašej sieti a vyhodnocujte ich. Zameriavajte sa na neštandardnú komunikáciu, komunikáciu na neštandardných portoch alebo pokusy o pripojenie cez zakázané porty. Takisto si všímajte prístup do vašej siete z externého prostredia, ktoré nie sú štandardnou praxou (napríklad prostredníctvom softvéru na zdieľanie pracovnej plochy, VPN alebo VPS).
- Ak využívate RDP, VNC a podobné spôsoby vzdialeného prístupu, nikdy ich nesprístupnite priamo z internetu, ale umiestnite ich za VPN koncentrátor. Využitie takýchto služieb obmedzte na minimum. Ak to daná služba umožňuje, pri pripájaní na pracovné stanice vyžadujte potvrdenie každého pripojenia koncovým používateľom. Pri prihlásení využívajte viacfaktorovú autentifikáciu.
- Akékoľkek služby vzdialeného prístupu a VPN dôkladne ich monitorujte (napr. e-mail administrátorovi pri každom pripojení a odpojení klienta).
- Ak služby vzdialeného prístupu nevyužívate, vypnite ich.
- Zaveďte blokovanie účtov po stanovenom počte pokusov na odvrátenie útokov hrubou silou.
- Obmedzte protokol Server Message Block (SMB) prístup len k potrebným serverom a odstráňte alebo zakážte zastarané verzie SMB.
- Preverte úroveň bezpečnosti v rámci vášho dodávateľského reťazca.Zabezpečte, aby všetky prepojenia medzi tretími stranami a vašimi systémami a službami boli monitorované a pod vašou kontrolou.
- Integrujte centrálne riadenie zariadení (tzv. MDM) a konfigurujte ho tak, že na firemných zariadeniach povolíte inštaláciu len určitých aplikácií a konfiguráciu len nevyhnutných používateľských funkcií. Zvážte vyžadovanie poverení správcu na inštaláciu softvéru.
- Aktualizujte operačné systémy, softvér a firmvér na zariadeniach a serveroch hneď po vydaní aktualizácie. Pravidelne kontrolujte aktualizácie softvéru a upozornenia na koniec životnosti a prioritizujte opravy kritických zraniteľností.Využite centralizovaný systém manažmentu zraniteľností na automatizáciu a urýchlenie celého procesu.
- Inštalujte a pravidelne aktualizujte antivírusový a antimalvérový softvér na všetkých zariadeniach.
- Pridajte informáciu k správam prichádzajúcim zvonku vašej organizácie, ktorá bude hovoriť o tom, že sú to správy s vyšším rizikom.
- Povolenie DMARC a DKIM na e-mailových doménach vo všeobecnosti sťažuje určité formy falšovania e-mailov, hoci to nemusí priamo eliminovať taktiky opísané vyššie.
Zdroj:
« Späť na zoznam