Link-2-Secure

Cybersecurity and data breach news

Atak północnokoreańskich hakerów na analityków bezpieczeństwa

Google poinformowało, że północnokoreańscy hakerzy wzięli na cel członków społeczności zajmującej się bezpieczeństwem cybernetycznym

Google poinformowało dziś, że północnokoreańska rządowa grupa hakerska wzięła na cel członków społeczności zajmującej się bezpieczeństwem cybernetycznym, którzy prowadzą badania nad lukami w zabezpieczeniach. Ataki zostały wykryte przez Google Threat Analysis Group (TAG), zespół bezpieczeństwa Google specjalizujący się w tropieniu grup APT (advanced persistent threat).

W opublikowanym raporcie, Google stwierdziło, że północnokoreańscy hakerzy używali wielu profili w różnych sieciach społecznościowych, takich jak Twitter, LinkedIn, Telegram, Discord i Keybase, aby dotrzeć do badaczy bezpieczeństwa używając fałszywych personaliów. W niektórych przypadkach wykorzystywano również pocztę elektroniczną – twierdzi Google.

„Po nawiązaniu wstępnej komunikacji, aktorzy pytali badacza, czy chcą współpracować przy badaniu luk w zabezpieczeniach, a następnie dostarczali mu projekt Visual Studio” – powiedział Adam Weidemann, badacz bezpieczeństwa z Google TAG.

Projekt Visual Studio zawierał złośliwy kod, który instalował złośliwe oprogramowanie w systemie operacyjnym badacza. Złośliwe oprogramowanie działało jak backdoor, kontaktując się ze zdalnym serwerem poleceń i kontroli i oczekując na polecenia.

Ataki na Google Chrome
Wiedemann dodał również, że napastnicy nie zawsze wysyłali złośliwe pliki do swoich celów. W kilku innych przypadkach prosili badaczy bezpieczeństwa o odwiedzenie bloga, który był dostępny pod adresem blog[.]br0vvnn[.]io

Według Google, blog ten zawierał złośliwy kod, który po wejściu na stronę infekował komputer ofiary.

„Złośliwa usługa była instalowana w systemie użytkownika, a backdoor w pamięci kontaktował się z serwerem poleceń i kontroli należącego do hakera” – powiedział Weidemann.

Szczegóły na temat ataków opartych na przeglądarkach są wciąż skąpe, ale niektórzy badacze bezpieczeństwa uważają, że północnokoreańska grupa najprawdopodobniej wykorzystała kombinację luk zero-day w Chrome i Windows 10, aby zainfekować komputery ofiar.

W związku z powyższym, zespół Google TAG prosi o udostępnienie większej ilości szczegółów na temat ataków.

Raport Google TAG zawiera listę linków do fałszywych profili w mediach społecznościowych, które północnokoreański haker wykorzystał do zwabienia i oszukania członków społeczności infosecurity. Zaleca się, aby badacze bezpieczeństwa przejrzeli swoje historie przeglądania stron internetowych i sprawdzili, czy wchodzili w interakcje z którymś z tych profili lub czy uzyskali dostęp do złośliwej domeny blog[.]br0vvnn[.]io. W przypadku, gdy tak się stało, najprawdopodobniej ich komputery zostały zainfekowane i należy podjąć pewne kroki w celu zbadania własnych systemów.

Prawdopodobny powód ataków to chęć zbudowania nawiązania kontaktów z analitykami bezpieczeństwa, zbudowania zaufania i dotarcie do badanych nowych exploitów dla luk odkrytych przez zainfekowanych badaczy. Wykradzione exploity mogły by być później wykorzystywane do kolejnych ataków.