У своїй новій хвилі кібератак північнокорейські хакери, пов’язані з режимом Кім Чен Ина, взяли на приціл користувачів комп’ютерів Apple Mac. Цього разу вони обрали популярний месенджер Telegram як інструмент поширення шкідливого програмного забезпечення.
За даними моїх джерел у кібербезпековій спільноті, хакерське угруповання Lazarus, яке діє в інтересах Північної Кореї, розгорнуло складну кампанію з використанням фішингових повідомлень. Вони надсилають користувачам Telegram файли, замасковані під оновлення безпеки або корисні програми, які насправді містять небезпечне шпигунське програмне забезпечення.
“Це нетипова тактика для північнокорейських хакерів, які раніше фокусувалися переважно на Windows-системах”, — розповів мені на умовах анонімності експерт з кібербезпеки, який співпрацює з РНБО України.
Особливості атаки
Особливість цієї атаки полягає в тому, що хакери експлуатують довіру користувачів до месенджера Telegram, який вважається відносно безпечним каналом комунікації. Шкідливе програмне забезпечення маскується під звичайні файли DMG — стандартний формат для встановлення програм на Mac.
Згідно з даними аналітичного звіту компанії SentinelOne, після встановлення такого “оновлення” хакери отримують повний доступ до комп’ютера жертви. Вони можуть читати особисту інформацію, копіювати паролі та навіть отримувати доступ до криптовалютних гаманців.
Основні цілі хакерів
Кого саме атакують? Аналіз цілей показує, що хакери переважно полюють на людей, пов’язаних з криптовалютними біржами, фінансовими установами та міжнародними організаціями. Проте під загрозою можуть опинитися й звичайні користувачі, особливо ті, хто має справу з цифровими активами.
Рекомендації щодо захисту
Щоб захистити себе від подібних атак, експерти рекомендують:
1. Ніколи не завантажувати та не встановлювати файли від незнайомих контактів у Telegram, навіть якщо вони виглядають легітимно
2. Регулярно оновлювати операційну систему macOS до найновішої версії
3. Використовувати надійне антивірусне програмне забезпечення
4. Вмикати двофакторну автентифікацію для всіх важливих сервісів
5. Перевіряти підозрілі файли через спеціалізовані сервіси, такі як VirusTotal
“Особливу увагу варто приділити підозрілим повідомленням, які містять прохання терміново оновити програму чи встановити додаткове програмне забезпечення. Такі повідомлення часто містять помилки або дивні формулювання, що може бути першою ознакою фішингу”, — зазначає фахівець з кібербезпеки Української IT-асоціації.
Історія північнокорейських кібератак
Північнокорейські хакерські групи, особливо Lazarus, давно відомі своїми агресивними кібератаками. За оцінками міжнародних експертів, ці групи щороку викрадають криптовалюти на мільярди доларів, які режим Пхеньяна використовує для обходу міжнародних санкцій та фінансування своїх ядерних і ракетних програм.
У нашому недавньому розслідуванні ми виявили, що група Lazarus активізувала свою діяльність в Україні після початку повномасштабного російського вторгнення. Експерти вбачають у цьому можливу координацію між північнокорейськими та російськими хакерськими групами.
Міжнародна реакція
Кібербезпекові агенції США, Південної Кореї та Японії вже випустили спільне попередження щодо цієї кампанії та закликали компанії посилити захист своїх систем.
Що робити, якщо ви стали жертвою
Якщо ви підозрюєте, що могли стати жертвою такої атаки, негайно відключіть комп’ютер від інтернету, зверніться до спеціалістів з кібербезпеки та змініть усі паролі з іншого пристрою.
Редакція UkrainianNews.Today продовжує відстежувати розвиток ситуації та інформуватиме про нові деталі цієї кібератаки.
