Google poinformowało dziś, że północnokoreańska rządowa grupa hakerska wzięła na cel członków społeczności zajmującej się bezpieczeństwem cybernetycznym, którzy prowadzą badania nad lukami w zabezpieczeniach. Ataki zostały wykryte przez Google Threat Analysis Group (TAG), zespół bezpieczeństwa Google specjalizujący się w tropieniu grup APT (advanced persistent threat).
W opublikowanym raporcie, Google stwierdziło, że północnokoreańscy hakerzy używali wielu profili w różnych sieciach społecznościowych, takich jak Twitter, LinkedIn, Telegram, Discord i Keybase, aby dotrzeć do badaczy bezpieczeństwa używając fałszywych personaliów. W niektórych przypadkach wykorzystywano również pocztę elektroniczną – twierdzi Google.
„Po nawiązaniu wstępnej komunikacji, aktorzy pytali badacza, czy chcą współpracować przy badaniu luk w zabezpieczeniach, a następnie dostarczali mu projekt Visual Studio” – powiedział Adam Weidemann, badacz bezpieczeństwa z Google TAG.
Projekt Visual Studio zawierał złośliwy kod, który instalował złośliwe oprogramowanie w systemie operacyjnym badacza. Złośliwe oprogramowanie działało jak backdoor, kontaktując się ze zdalnym serwerem poleceń i kontroli i oczekując na polecenia.
Ataki na Google Chrome
Wiedemann dodał również, że napastnicy nie zawsze wysyłali złośliwe pliki do swoich celów. W kilku innych przypadkach prosili badaczy bezpieczeństwa o odwiedzenie bloga, który był dostępny pod adresem blog[.]br0vvnn[.]io
Według Google, blog ten zawierał złośliwy kod, który po wejściu na stronę infekował komputer ofiary.
„Złośliwa usługa była instalowana w systemie użytkownika, a backdoor w pamięci kontaktował się z serwerem poleceń i kontroli należącego do hakera” – powiedział Weidemann.
Szczegóły na temat ataków opartych na przeglądarkach są wciąż skąpe, ale niektórzy badacze bezpieczeństwa uważają, że północnokoreańska grupa najprawdopodobniej wykorzystała kombinację luk zero-day w Chrome i Windows 10, aby zainfekować komputery ofiar.
W związku z powyższym, zespół Google TAG prosi o udostępnienie większej ilości szczegółów na temat ataków.
Raport Google TAG zawiera listę linków do fałszywych profili w mediach społecznościowych, które północnokoreański haker wykorzystał do zwabienia i oszukania członków społeczności infosecurity. Zaleca się, aby badacze bezpieczeństwa przejrzeli swoje historie przeglądania stron internetowych i sprawdzili, czy wchodzili w interakcje z którymś z tych profili lub czy uzyskali dostęp do złośliwej domeny blog[.]br0vvnn[.]io. W przypadku, gdy tak się stało, najprawdopodobniej ich komputery zostały zainfekowane i należy podjąć pewne kroki w celu zbadania własnych systemów.
Prawdopodobny powód ataków to chęć zbudowania nawiązania kontaktów z analitykami bezpieczeństwa, zbudowania zaufania i dotarcie do badanych nowych exploitów dla luk odkrytych przez zainfekowanych badaczy. Wykradzione exploity mogły by być później wykorzystywane do kolejnych ataków.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot