Федеральное бюро расследований, Национальное агентство безопасности и Министерство иностранных дел США выпустили совместное предупреждение о кибератаках по почте, организованных государством, которые обходят меры безопасности аутентификации. Атакующими была идентифицирована группа хакеров APT43, связанная с военной разведывательной службой КНДР. APT43, также известная как Kimsuky, использовала обход аутентификации почтового ящика для выдачи себя за журналистов, исследователей и других академиков в рамках специально организованных кампаний spear-phishing с целью «предоставить похищенные данные и ценное геополитическое понимание правительству Северной Кореи путем компрометации политических аналитиков и других экспертов». Совместное предупреждение о безопасности рекомендует всем ответственным за свой электронный домен незамедлительно выполнить одно действие: обновить политику безопасности, основанную на аутентификации сообщений, отчетах и соблюдении доменов.
В совместном кибернетическом предупреждении JCSA-20240502-001 национальные службы безопасности и разведки предупреждают не только потенциальных целей, но и всех пользователей электронной почты о рисках государственно поддерживаемой враждебной группировки хакеров Kimsuky из Северной Кореи. Kimsuky, как часть военной кибер-программы Северной Кореи, получила задачу помогать в поддержании «постоянного доступа к актуальной разведке о Соединенных Штатах, Южной Корее и других странах, представляющих интерес для затруднения любой воспринимаемой политической, военной или экономической угрозы для безопасности и стабильности режима», согласно авторам JCSA.
В частности, группу APT43/Kimsuky управляет 63-й исследовательский центр военной разведки Северной Кореи, который известен американским разведывательным службам с 2012 года. Основная миссия Kimsuky, по-видимому, заключается в компрометации экспертных целей, таких как политические аналитики, чтобы получить данные, предоставляющие ценное геополитическое понимание. В этом случае возникает вопрос, почему это предупреждение ФБР должно беспокоить кого-то еще? Просто говоря, каждая успешная атака, даже самая базовая из phishing-кампаний, может помочь создать еще более эффективные атаки. В частности, создание наиболее правдоподобных электронных писем в атаках spear-phishing, нацеленных на ключевые цели, удерживающие самую чувствительную информацию. Почему это должно вас беспокоить, помимо очевидных национальных безопасностных причин, – это метод, используемый атакующими, который может использовать вашу неправильно настроенную аутентификацию электронной почты.
Domain-based Message Authentication, Reporting and Conformance – одна из тех вещей, о которых никогда не слышал большинство пользователей электронной почты, но которую действительно нужно иметь для всех собственных серверов электронной почты. Есть причина, по которой Google недавно внедрил новые правила аутентификации почты, которые будут возвращать неаутентифицированные сообщения от массовых отправителей на адреса Gmail неоткрытыми. Причина в том, чтобы уменьшить количество спама и, в свою очередь, уменьшить потенциал того, что этот спам может нести зловредное содержимое для пользователей Gmail. Хотя кампании spear-phishing не триггерят ограничения отправителей Gmail, эта же технология аутентификации обходится атакующими Kimsuky. Как они это делают?
Для начала нужно понять, что DMARC – это протокол безопасности, который позволяет серверу получателя узнать, если сообщение вышло оттуда, откуда утверждает. Другими словами, DMARC аутентифицирует, что сообщение не было подделано, но действительно поступило от лица или, как минимум, от организационного домена электронной почты, которое утверждает. Он хорошо справляется с этим, кроме случаев, когда этого не происходит. Политика DMARC будет указывать серверу получателя, что делать с этим сообщением после первичной проверки того, что ассоциированные записи аутентификации отправителя Системы Политики Отправителя и Идентификационная Почта Области Домена совпадают. Сама DMARC-политика может быть настроена таким образом, чтобы отправлять письмо получателю во входящие сообщения, помечать его как спам или полностью отклонять.
Вот где появляется Kimsuky. Они используют тот факт, что многие политики DMARC оставлены пустыми или помечены как «без действия», если необходимо выполнять какие-либо действия, если электронное письмо не проходит тесты, так как есть модификатор p=none, чтобы показать, что политика не существует. Сам JSAC включает ряд реальных примеров электронных писем, отправленных Kimsuky. После предупреждения о том, что кампании Kimsuky начнутся с широкой фазы разведки, в предупреждающем сообщении указано, что «содержимое из электронных писем ранее скомпрометированных почтовых ящиков» также используется для улучшения подлинности коммуникации. Kimsuky будет создавать фиктивные имена пользователей, но использовать легитимные доменные имена для подделки лиц из организаций, таких как аналитические центры и учебные заведения. Эти электронные письма не поступают от фактического домена организации, а от адреса электронной почты и домена, контролируемых хакерами, из-за недостатков политики DMARC.
ФБР и NSA совместное предупреждение призывает всех пользователей почты принять одну рекомендацию по смягчению, которая могла бы помочь предотвратить успешные атаки. Эта рекомендация следует за последними шагами Google по защите пользователей службы Gmail от спамеров, требуя использовать механизмы аутентификации домена для массовой электронной почты.
Новые правила Gmail заслуживают похвалы, но ФБР и NSA советуют всем пользователям электронной почты немедленно принять одно действие: обновить вашу или политику безопасности DMARC вашей организации.
Для этого вам следует убедиться, что ваша политика DMARC, которую можно отредактировать в настройках DNS вашего домена электронной почты, находится в одном из двух конфигураций: “v=DMARC1; p=quarantine”, что указывает серверу почты помещать электронные письма, не проходящие тест DMARC, в спам, или “v=DMARC1; p=reject”, что говорит серверу отклонить или заблокировать сообщение. Если вы используете только веб-сервис, например Gmail, и не администрируете пользовательский домен организации, вам не о чем беспокоиться. Но все остальные должны обратиться к своей ИТ-команде или веб-хостинговой компании и убедиться, что политика DMARC правильно настроена.
„Spear-phishing продолжает оставаться основным элементом кибер-программы КНДР“, заявил директор кибербезопасности NSA Дэйв Лубер, „и это CSA предоставляет новые знания и меры по противодействию их хитростям“.
Обновление от 07/05:
Исследователи, работающие в Proofpoint, провели глубокий анализ действий угрозового актера TA427, более известного как APT43 или Kimsuky. Описывая группу, выступающую на стороне Северной Кореи и работающую в поддержку Главного бюро разведки, как „одного из наиболее активных групировок угроз, выстраиваемых государством“, Proofpoint отметил новые тактики атак, используемые Kimsuky. Это увеличение различных техник, используемых угрозовым актером, следует за действиями группы, „выдающей себя за ключевых экспертов СК по академии, журналистике и независимым исследованиям“, как часть долгосрочной стратегии сбора разведданных. Проблема заключается в том, что из-за того, что, как утверждают исследователи, атаки имели явный успех, не наблюдается признаков того, что Kimsuky замедляет свои темпы или становится менее гибкой насчет тактического переключения. Отсюда и совместное предупреждение от ФБР и NSA.
Одной из новых тактик, применяемых Kimsuky, является использование веб-биконов. Эти вещества были обнаружены командой Proofpoint в активном использовании угрозовыми актерами в феврале 2024 года, веб-биконы встраивают гиперссылочный, но невидимый объект, часто изображение одного и того же цвета, что и фоновый пиксель, чтобы помочь проверить и отслеживать цели. Это происходит путем привязки этого невидимого пикселя к серверу изображений, который пытается загрузить его в содержимое, которое рендерится. Само изображение безопасно, но его ценность как части начальной разведки так презрена, как и ценна. Эти биконы не только показывают, что „письма активны“, но и собирают „фундаментальную информацию об окружениях получателей, включая внешние IP-адреса, User-Agent хоста и время, когда пользователь открыл электронное письмо“, как пояснил доклад. И сама тактика далеко не нова, конечно, она является любимой для групп постоянных угроз, но совместно с эсплуатацией плохо реализованных, если вообще реализованных, политик DMARC для подделки легитимных персон, это выгодное и актуальное действие для Kimsuky.
По поводу признаков компрометации, исследователи Proofpoint отметили, что для последних всплесков активности от Kimsuky использовались следующие темы сообщений:
Proofpoint предлагает бесплатный инструмент для проверки записи DMARC, который позволяет пользователям проверить до 100 доменов. Этот инструмент проверяет записи домена организации, чтобы убедиться, что такая дозволяющая политика DMARC, которой часто пользуются угрозовые актеры, такие как APT43, отсутствует.
Обновление от 08/05: Исследователи по исследованию угроз, работающие на Mandiant, дочерней компании Google, опубликовали исчерпывающий анализ еще одной группы государственно поддерживаемых угроз. APT42, по мнению исследователей, действует не под управлением Северной Кореи, а скорее Ирана. Более точно группу предполагается использовать кампании по сбору разведданных от имени Организации разведки Корпуса поборников революции. По всей видимости, существуют явные операционные совпадения в отношении этих хакерских атак для того, чтобы APT42 также была известна как Charming Kitten, Mint Sandstorm и TA453. Как бы то ни было, есть некоторые сходства с тем, как работает