Израильские специалисты разоблачили хитроумную кибератаку КНДР

Израильская компания Sygnia, работающая в сфере кибербезопасности, заявила об успешной нейтрализации масштабной кибератаки, связанной с Северной Кореей. Инцидент, по данным специалистов, произошёл в середине 2024 года и стал примером всё более изощрённой стратегии цифрового шпионажа, основанной не на техническом взломе, а на манипуляции доверием.

Об этом рассказал в своем Telegram-канале Алексей Железнов.

Как установили аналитики Sygnia, инициатором атаки выступил северокорейский специалист в сфере информационных технологий, который сумел внедриться в западную компанию, представившись легитимным сотрудником. Получив доступ к корпоративным системам, он действовал под прикрытием обычного удалённого работника. Классических вирусов или вредоносного ПО он не использовал — напротив, его действия были построены на социальной инженерии и тонкой имитации повседневной деятельности.

Поводом для начала расследования послужил рейд ФБР на одну из «ферм ноутбуков» — подпольную схему, в рамках которой иностранные IT-специалисты получали доступ к технике и учетным данным, маскируясь под американских работников. На одном из изъятых ноутбуков и были обнаружены признаки несанкционированной активности.

Проведя собственную экспертизу, Sygnia установила, что злоумышленник получил полный доступ к корпоративной VPN и официально выданному устройству. Используя базовые протоколы и такие стандартные инструменты, как Zoom, он долгое время оставался незаметным для системы безопасности.

Его атака не включала традиционные методы заражения — вместо этого он создал сложный, многоуровневый канал скрытого управления, через который передвигался по внутренней сети, запускал вредоносные процессы и извлекал конфиденциальную информацию.

Как прокомментировал ситуацию старший вице-президент по киберуслугам Sygnia Шохам Саймон:

"Это исключительный случай, когда кибератака происходит не за счет технической уязвимости, а благодаря уязвимости человеческого доверия"

Саймон отметил, что злоумышленник использовал легитимные инструменты, зачастую не попадающие в поле зрения традиционных средств защиты. Это позволило ему маскировать свою активность под рутинную деятельность, не вызывая подозрений.

"Необходимо расширить модели обнаружения угроз. Одного анализа иногда недостаточно — нужно учитывать аномалии в поведении, нестандартное использование легальных инструментов и подозрительные сетевые действия", — добавил Саймон, подчёркивая необходимость переосмысления подходов к обеспечению безопасности в условиях удалённой работы и глобальной распределённости команд.

Компания не уточняет, какая именно организация стала мишенью хакера, однако подчёркивает: атака была остановлена до того, как произошёл серьёзный ущерб. Установленную личность нарушителя передали соответствующим структурам, его доступ к сетям был немедленно заблокирован.

Ранее "Курсор" сообщал, что израильтянам рассказали, как не стать жертвой финансового мошенничества.