Hakerzy Korei Północnej podszywają się pod rekruterów na LinkedIn
Hakerzy Korei Północnej podszywają się pod rekruterów na LinkedIn w celu infekowania urządzeń specjalistów z branży IT. Uważać powinni m.in. programiści. Wykrycie kampanii w cale nie jest łatwe, nawet dla doświadczonych ekspertów.
Specjaliści zespołu Unit 42 w Palo Alto Networks przeanalizowali kampanię szpiegowską, za którą stoi Slow Pisces, grupa APT z Korei Północnej. Działania hakerów polegają na podszywaniu się pod rekruterów na LinkedIn.
W raporcie eksperci wskazują, że atakujący nawiązują kontakt z deweloperami z branży kryptowalut, oferując udział w rekrutacji. Tu warto wyjaśnić, jak zazwyczaj wygląda taki proces.
Zadanie rekrutacyjne. Kiedy może dojść do ataku?
Najważniejszym punktem jest sprostanie zadaniu technicznemu. Odpowiednia dokumentacja udostępniana jest na GitHubie a kandydat otrzymuje link. „To moment, kiedy może dojść do cyberataku” – ostrzegają eksperci Palo Alto Networks.
„Jeśli hiperłącze będzie sfałszowane, to potencjalna ofiara zostanie narażona na pobranie złośliwego oprogramowania infekującego system operacyjny” – tłumaczą w komentarzu dla naszej redakcji.
Ataki trudne do wykrycia
Północnokoreańscy hakerzy prowadzą operację w taki sposób, aby złośliwe oprogramowanie infekowało urządzenia tylko „zweryfikowanych” celów. Analiza wykazała, że działa ono wyłącznie w pamięci podręcznej, nie pozostawiając żadnych śladów na dysku.
Działania Slow Pisces wyróżnia wyjątkowa precyzja i dyskrecja. Zamiast masowych kampanii phishingowych, grupa selekcjonuje ofiary indywidualnie – na podstawie ich lokalizacji, adresu IP czy zachowania w sieci. To działania wymierzone bezpośrednio w osoby techniczne – deweloperów, którzy często pracują na zaufanych środowiskach i systemach. Podszywanie się pod rekrutera to jedna z wielu form inżynierii społecznej, której skuteczność niestety stale rośnie. W takich przypadkach kluczowe znaczenie ma edukacja i ostrożność – również poza firmowym środowiskiem IT.
Tomasz Pietrzyk, szef zespołu inżynierów w regionie CEE w Palo Alto Networks
Tego typu ataki są trudne do wykrycia. Wynika to z faktu, że sprawcy dbają o detale i starannie dopasowują działania do ofiar. Stosują różne metody i techniki, aby utrudnić wykrycie złośliwego oprogramowania nawet doświadczonym specjalistom.
„W Pythonie ukrywają go w plikach konfiguracyjnych, a w JavaScript wykorzystują luki w popularnych bibliotekach do dynamicznego generowania treści” – wskazuje Palo Alto Networks dla naszego serwisu.
Co więcej, kod ukryty w zadaniach rekrutacyjnych opiera się zazwyczaj na prawdziwych projektach open source, co ma podnieść poczucie wiarygodności.
Więcej wrogich operacji
Eksperci zwracają uwagę, że opisana kampania to nie jest jednostkowy przypadek. W ostatnich miesiącach zespół Unit 42 miał wykryć kampanie innych grup powiązanych z reżimem Kima. Wymienia tu np. złośliwe oprogramowanie RustDoor udające aktualizację Visual Studio na system macOS czy działania grupy Sparkling Pisces stosującej phishing.
Wszystkie operacje łączy jedno: wymierzone są w osoby posiadające wiedzę i doświadczenie techniczne, a ich celem jest próba uzyskania nieautoryzowanego dostępu do danych, infrastruktury lub środków finansowych.
Kradzież ponad 1,5 mld dol.
Jak podkreśla Palo Alto Networks, firma współpracowała z przedstawicielami LinkedIn i GitHuba, aby usunąć złośliwe konta i repozytoria.
Według zespołu Unit 42, kampania prowadzona przez Slow Pisces mogła mieć związek z kradzieżą kryptowalut o łącznej wartości ponad 1,5 mld dol. w 2023 r.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?
Materiał sponsorowany