new

北朝鮮のサイバースパイが外国の専門家をだまして研究を書かせている

この記事を共有する

Google ニュースで oneechanblog をフォローする

(jp) =

米国を拠点とする外交問題アナリストのダニエル・デペトリスが 10 月に 38 ノース シンクタンクのディレクターから記事を依頼する電子メールを受け取ったとき、それはいつものように見えました。

そうではありませんでした。

関係者と3人のサイバーセキュリティ研究者によると、送信者は実際には情報を求めている北朝鮮のスパイと疑われています.

ハッカーが通常行うようにコンピューターに感染して機密データを盗む代わりに、送信者は 38 North のディレクターである Jenny Town になりすまして、北朝鮮の安全保障問題に関する考えを引き出そうとしているように見えました。

「フォローアップの質問でその人に連絡したところ、それが合法ではないことに気付きました。実際、要求は行われておらず、この人も標的であることがわかりました」とデペトリスはロイターに語り、タウンに言及しました. 「そのため、これが広範なキャンペーンであることがすぐにわかりました。」

サイバーセキュリティの専門家、標的にされた 5 人の個人、およびロイターが確認した電子メールによると、この電子メールは、北朝鮮のハッキング グループと疑われるグループによる、これまで報告されていなかった新しいキャンペーンの一部です。

北朝鮮コンピューターラボ
北朝鮮のスパイは、パスワードを漏らしたり、マルウェアをロードする添付ファイルやリンクをクリックしたりすることで、ターゲットに電子メールを送信することが知られています。
ゲッティイメージズ経由のコービス

研究者がタリウムやキムスキーなどと呼んでいるこのハッキング グループは、ターゲットをだましてパスワードをあきらめさせたり、マルウェアをロードする添付ファイルやリンクをクリックさせたりする「スピア フィッシング」メールを長い間使用してきました。 しかし現在では、単に研究者や専門家に意見を求めたり、レポートを書いたりしているようにも見えます。

ロイターが確認した電子メールによると、提起された他の問題の中で、新たな核実験の際の中国の反応があった。 北朝鮮の「侵略」に対する「より静かな」アプローチが正当化されるかどうか。

Microsoft Threat Intelligence Center (MSTIC) の James Elliott 氏は、次のように述べています。 「攻撃者はプロセスを完全に変更しました。」

MSTIC は、タリウム攻撃者のアカウントに情報を提供した「複数の」北朝鮮専門家を特定したと述べた。

キャンペーンで標的にされた専門家やアナリストは、北朝鮮に対する国際世論や外国政府の政策を形作る上で影響力を持っている、とサイバーセキュリティ研究者は述べた。

米国政府のサイバーセキュリティ機関による 2020 年のレポートによると、タリウムは 2012 年から運用されており、「北朝鮮政権から世界的な情報収集任務を課されている可能性が最も高い」とのことです。

マイクロソフトによると、タリウムは歴史的に公務員、シンクタンク、学者、人権団体を標的にしてきました。

ハッカー
北朝鮮はサイバー犯罪への関与を否定している。
ゲッティイメージズ経由のライトロケット

「攻撃者は馬の口から直接情報を取得しています。専門家から直接情報を取得しているため、そこに座って解釈する必要はありません」とエリオット氏は述べています。

新しい戦術

北朝鮮のハッカーは、数百万ドルを稼ぐ攻撃でよく知られています。ソニー・ピクチャーズを標的に、その指導者を侮辱していると見なされた映画をめぐって、製薬会社や防衛会社、外国政府などからデータを盗みます。

ロンドンの北朝鮮大使館はコメントの要請に応じなかったが、サイバー犯罪への関与を否定した。

BAE Systems Applied Intelligence の主任脅威インテリジェンス アナリストである Saher Naumaan 氏によると、他の攻撃では、Thallium や他のハッカーは、悪意のあるソフトウェアを送信する前に、標的との信頼関係を築くために数週間または数か月を費やしています。

しかし、Microsoft によると、このグループは現在、被害者が応答した後でも、悪意のあるファイルやリンクを送信することなく、場合によっては専門家にも関与しています。

この戦術は、誰かのアカウントをハッキングして電子メールをくまなく調べるよりも迅速であり、悪意のある要素を含むメッセージをスキャンしてフラグを付ける従来の技術的なセキュリティ プログラムを回避し、スパイが専門家の考えに直接アクセスできるようにする、とエリオット氏は述べています。

「防御側である私たちにとって、これらの電子メールを阻止することは非常に困難です。」

金正恩
攻撃者は論文を依頼し、アナリストは何が起こったかを理解する前に完全なレポートまたは原稿のレビューを提供しました.
ゲッティイメージズ

タウンは、彼女からのものであると称するいくつかのメッセージは、「.org」で終わる彼女の公式アカウントではなく、「.live」で終わる電子メールアドレスを使用していたが、彼女の完全な署名欄をコピーしていたと述べた.

あるケースでは、彼女はシュールな電子メール交換に巻き込まれ、攻撃者の疑いがあり、彼女になりすまして彼女を返信に含めたと彼女は言いました。

Defence Priorities のフェローであり、いくつかの新聞のコラムニストである DePetris 氏は、受け取った電子メールは、研究者が論文の提出や草案へのコメントを求めているかのように書かれていると述べました。

「調査が正当なものであるかのように見せるために、通信にシンクタンクのロゴを添付するなど、非常に洗練されたものでした」と彼は言いました。

DePetris 氏によると、38 North から偽の電子メールを受け取ってから約 3 週間後、別のハッカーが彼になりすまし、他の人に下書きを見るように電子メールを送ったという。

DePetris が Reuters と共有したその電子メールは、北朝鮮の核計画に関する原稿をレビューするために 300 ドルを提供し、他の可能なレビュー担当者の推薦を求めています。 エリオット氏は、ハッカーが調査や回答に対して金銭を支払ったことはなく、支払うつもりもないと述べた。

情報収集

なりすましは世界中のスパイにとって一般的な方法ですが、制裁とパンデミックの下で北朝鮮の孤立が深まるにつれて、西側の諜報機関は、北朝鮮がサイバーキャンペーンに特に依存するようになったと信じています、とソウルのあるセキュリティソースは匿名の条件でロイターに語った.知性の問題について話し合う。

2022 年 3 月の報告書で、北朝鮮の国連制裁回避を調査する専門家委員会は、タリウムの取り組みを、同国の制裁回避を「知らせ、支援することを目的としたスパイ活動を構成する」活動の 1 つとして挙げました。

タウン氏は、攻撃者が論文を依頼したり、アナリストが何が起こったかを理解する前に完全なレポートや原稿のレビューを提供したりした場合があると述べました。

DePetris 氏によると、ハッカーたちは、北朝鮮の軍事活動に対する日本の対応など、同氏がすでに取り組んでいる問題について尋ねたという。

日本の共同通信の記者を装った別の電子メールは、38北朝鮮のスタッフに、ウクライナでの戦争が北朝鮮の考えをどのように考慮に入れていると思うかを尋ね、米国、中国、ロシアの政策について質問した.

デペトリス氏は、「北朝鮮に対する米国の政策と、北朝鮮がどこに向かっているのかをよりよく理解するために、北朝鮮がシンクタンカーから率直な意見を得ようとしていると推測するしかない」と述べた。

同じカテゴリの投稿

BG_oneechanblog
キリンの首が長いのはなぜ?
BG_oneechanblog
Mac で Homebrew を使用して PHP 8 にアップグレードする