Hakerzy Korei Północnej podszywają się pod rekruterów na LinkedIn

Specjaliści zespołu Unit 42 w Palo Alto Networks przeanalizowali kampanię szpiegowską, za którą stoi Slow Pisces, grupa APT z Korei Północnej. Działania hakerów polegają na podszywaniu się pod rekruterów na LinkedIn.

W raporcie eksperci wskazują, że atakujący nawiązują kontakt z deweloperami z branży kryptowalut, oferując udział w rekrutacji. Tu warto wyjaśnić, jak zazwyczaj wygląda taki proces.

Zadanie rekrutacyjne. Kiedy może dojść do ataku?

Najważniejszym punktem jest sprostanie zadaniu technicznemu. Odpowiednia dokumentacja udostępniana jest na GitHubie a kandydat otrzymuje link. „To moment, kiedy może dojść do cyberataku” – ostrzegają eksperci Palo Alto Networks. 

„Jeśli hiperłącze będzie sfałszowane, to potencjalna ofiara zostanie narażona na pobranie złośliwego oprogramowania infekującego system operacyjny” – tłumaczą w komentarzu dla naszej redakcji.

Ataki trudne do wykrycia

Północnokoreańscy hakerzy prowadzą operację w taki sposób, aby złośliwe oprogramowanie infekowało urządzenia tylko „zweryfikowanych” celów. Analiza wykazała, że działa ono wyłącznie w pamięci podręcznej, nie pozostawiając żadnych śladów na dysku. 

Działania Slow Pisces wyróżnia wyjątkowa precyzja i dyskrecja. Zamiast masowych kampanii phishingowych, grupa selekcjonuje ofiary indywidualnie – na podstawie ich lokalizacji, adresu IP czy zachowania w sieci. To działania wymierzone bezpośrednio w osoby techniczne – deweloperów, którzy często pracują na zaufanych środowiskach i systemach. Podszywanie się pod rekrutera to jedna z wielu form inżynierii społecznej, której skuteczność niestety stale rośnie. W takich przypadkach kluczowe znaczenie ma edukacja i ostrożność – również poza firmowym środowiskiem IT.
Tomasz Pietrzyk, szef zespołu inżynierów w regionie CEE w Palo Alto Networks

Tego typu ataki są trudne do wykrycia. Wynika to z faktu, że sprawcy dbają o detale i starannie dopasowują działania do ofiar. Stosują różne metody i techniki, aby utrudnić wykrycie złośliwego oprogramowania nawet doświadczonym specjalistom. 

„W Pythonie ukrywają go w plikach konfiguracyjnych, a w JavaScript wykorzystują luki w popularnych bibliotekach do dynamicznego generowania treści” – wskazuje Palo Alto Networks dla naszego serwisu. 

Co więcej, kod ukryty w zadaniach rekrutacyjnych opiera się zazwyczaj na prawdziwych projektach open source, co ma podnieść poczucie wiarygodności. 

Więcej wrogich operacji

Eksperci zwracają uwagę, że opisana kampania to nie jest jednostkowy przypadek. W ostatnich miesiącach zespół Unit 42 miał wykryć kampanie innych grup powiązanych z reżimem Kima. Wymienia tu np. złośliwe oprogramowanie RustDoor udające aktualizację Visual Studio na system macOS czy działania grupy Sparkling Pisces stosującej phishing. 

Wszystkie operacje łączy jedno: wymierzone są w osoby posiadające wiedzę i doświadczenie techniczne, a ich celem jest próba uzyskania nieautoryzowanego dostępu do danych, infrastruktury lub środków finansowych.

Kradzież ponad 1,5 mld dol.

Jak podkreśla Palo Alto Networks, firma współpracowała z przedstawicielami LinkedIn i GitHuba, aby usunąć złośliwe konta i repozytoria. 

Według zespołu Unit 42, kampania prowadzona przez Slow Pisces mogła mieć związek z kradzieżą kryptowalut o łącznej wartości ponad 1,5 mld dol. w 2023 r.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].