Израильская компания раскрыла северокорейскую кибератаку
Израильская компания Sygnia, специализирующаяся на кибербезопасности, раскрыла и успешно предотвратила кибератаку, связанную с Северной Кореей.
По данным компании, атака произошла в середине 2024 года и была организована северокорейским ИТ-специалистом, который представился законным сотрудником западной компании и получил доступ к ее внутренним системам. Это был не классический взлом, а операция, основанная на социальной инженерии и злоупотреблении доверием.
Расследование началось после того, как ФБР обнаружило ноутбук, выданный одному из клиентов, во время рейда на так называемую "ферму ноутбуков" — нелегальную схему, позволяющую иностранным ИТ-работникам скрывать свою подлинную личность и выдавать себя за американских сотрудников для получения удаленной работы.
Sygnia установила, что злоумышленник получил доступ к корпоративной VPN и ноутбуку, выданному компанией, и действовал незаметно в течение длительного времени, используя такие стандартные средства, как Zoom и базовые сетевые протоколы. Он не использовал вредоносный код в традиционном понимании — вместо этого создал многоуровневый скрытый канал управления, через который перемещался по сети, запускал вредоносные процессы и тайно извлекал конфиденциальные данные.
Старший вице-президент по киберуслугам Sygnia Шохам Саймон заявил, что этот инцидент стал ярким примером угрозы изнутри: "Это исключительный случай, когда кибератака происходит не за счет технической уязвимости, а благодаря уязвимости человеческого доверия".
Он отметил, что злоумышленник использовал законные инструменты, которые зачастую не отслеживаются стандартными системами безопасности. Именно это позволило ему маскировать вредоносную активность под обычную работу удаленного сотрудника.
Саймон подчеркнул, что инцидент должен стать сигналом для бизнеса и госструктур: "Необходимо расширить модели обнаружения угроз. Одного анализа кода недостаточно — нужно учитывать аномалии в поведении, нестандартное использование легальных инструментов и подозрительные сетевые действия".
Sygnia не раскрыла название пострадавшей компании, но отметила, что атака была вовремя нейтрализована, а злоумышленник идентифицирован и отсоединен от всех систем.