A Kimsuky a német Diehl Defence védelmi céget vette célba
Az Észak-Koreával kapcsolatban álló Kimsuky APT-csoportot a Diehl Defence, egy fejlett katonai rendszerek gyártására szakosodott védelmi cég elleni kibertámadással hozták összefüggésbe. A Diehl Defence GmbH & Co. KG egy német fegyvergyártó cég, amelynek székhelye Überlingenben található. A Diehl Stiftung részlegeként működik, és rakéták és lőszerek gyártására szakosodott. A német védelmi cég Iris-T levegő-levegő rakétákat is gyárt, amelyeket nemrégiben Dél-Korea vásárolt meg.
A Kimsuky APT-csoport egy kifinomult adathalászkampány segítségével tört be a Diehl Defence rendszerébe – jelentette a Der Spiegel című német lap. A kibertámadást a Google tulajdonában lévő Mandiant kiberbiztonsági cég fedezte fel. „A Google leányvállalatának, a Mandiantnak a kutatói felfedezték és elemezték a Kimsuky észak-koreai hackercsoport kibertámadását, amely a Diehl Defence-t vette célba – számolt be a Der Spiegel. „A hackerek az amerikai fegyvergyártók hamis, jövedelmező állásajánlatait használták fel a Diehl alkalmazottainak megtévesztésére. Egy rosszindulatú PDF-re kattintva az áldozatok tudtukon kívül rosszindulatú programot töltöttek le, ami lehetővé tette a hackerek számára, hogy kémkedjenek a rendszerükben.”
A támadók hamis állásajánlatokat és speciálisan szerkesztett PDF-fájlokat használtak a munkavállalók megcélzására, amerikai védelmi beszállítóknál történő állásajánlatokkal csalogatva őket. A szakértők szerint a támadás azért jelentős, mert a Diehl Defence szerepet játszik a rakéták, lőszerek és más fejlett katonai rendszerek gyártásában. A hackerek a támadó szerverüket az „Uberlingen” névvel leplezték, utalva a Diehl Defence németországi Überlingenben található telephelyére. A szerveren a Telekom és a GMX cégeket utánzó, valósághű, német nyelvű bejelentkezési oldalakat helyeztek el, valószínűleg azzal a céllal, hogy ellopják a német felhasználók bejelentkezési adatait.
A német Szövetségi Információbiztonsági Hivatal (BSI) szóvivője megerősítette, hogy a Kimsuky (más néven APT43) szélesebb körű kiberkampányt folytat Németország ellen. A BSI megerősítette, hogy a folyamatban lévő kampány részeként más német szervezeteket is célba vettek. A Kimsuky csoportot (más néven Springtail, ARCHIPELAGO, Black Banshee, Thallium, Velvet Chollima, APT43) először 2013-ban azonosították a Kaspersky kutatói. Az APT csoport elsősorban dél-koreai agytrösztöket és szervezeteket célzott meg, további áldozatok az Egyesült Államokban, Európában és Oroszországban voltak.
