Polityka i prawo
Link z wirusem na Twitterze. Hakerzy Pjongjangu uderzyli w cyberspecjalistów
Grupa hakerów Korei Północnej odpowiada za trwająca kampanię wymierzoną w specjalistów zajmujących się cyberbezpieczeństwem. Operacja bazuje na wykorzystaniu metod socjotechniki oraz mediów społecznościowych jako jednego z podstawowych narzędzi nawiązywania kontaktu z ofiarami. Hakerzy stworzyli również specjalistycznego bloga, aby podnieść wiarygodność i wzbudzić zaufanie wśród użytkowników.
Eksperci Google, należący do Threat Analysis Group (TAG), zidentyfikowali trwającą kampanię hakerską wymierzoną w badaczy i specjalistów zajmujących się wykrywaniem luk w zabezpieczeniach podmiotów prywatnych – czytamy w raporcie amerykańskiego koncernu.
Zdaniem zespołu Google za operację odpowiedzialny jest „aktor wspierany przez rząd z siedzibą w Korei Północnej”. Podczas kampanii hakerzy stosują szereg środków, aby dotrzeć do starannie wybranych celów.
Jak wskazano w raporcie, aby zbudować wiarygodność i nawiązać kontakt ze specjalistami ds. cyberbezpieczeństwa hakerzy założyli specjalny „blog badawczy” oraz wiele profili na Twitterze w celu wchodzenia w interakcje z potencjalnymi ofiarami. Utworzone konta służą do publikowania linków do treści znajdujących się na blogu, a także materiałów wideo dotyczących odkryć nowych exploitów. W mediach społecznościowych rozpowszechniane są również treści z innych kont kontrolowanych przez hakerów.
Na blogu znajdują się artykuły i analizy luk w zabezpieczeniach, które zostały publicznie ujawnione, w tym treści pochodzące od niczego nieświadomych rzeczywistych ekspertów ds. cyberbezpieczeństwa. W ten sposób grupa wspierana przez Pjongjang chciała zbudować wiarygodność udostępnianych materiałów i tym samym wzbudzić zaufanie wśród odbiorców.
Specjaliści Threat Analysis Group wskazali, że obecnie nie są w stanie zweryfikować autentyczności wszystkich exploitów, o których mówili w internecie fikcyjni eksperci. Wiadomo jednak, że przynajmniej część z udostępnianych informacji była sfałszowana.
Analiza kampanii pokazała, że grupa hakerów ukierunkowuje swoje działania w badaczy i specjalistów ds. cyberbezpieczeństwa. Operacja bazuje na nowatorskiej metodzie inżynierii społecznej. Po nawiązaniu wstępnej relacji docelowym ekspertom zadawane jest pytanie, czy chcieliby podjąć współpracę przy analizie luk w zabezpieczeniach. Następnie hakerzy przesyłają im plik Visual Studio. W środku znajduje się jednak „niestandardowe złośliwe oprogramowanie, które natychmiast po otwarciu komunikuje się z domenami kontrolowanymi przez grupę hakerów”. Jest to jedynie jedna z metod ataku wykorzystana przez hakerów.
Drugi sposób dotyczy bezpośrednio materiałów zamieszczanych na blogu. Linki do nich często są zamieszczane w postach na Twitterze, aby zwiększyć zasięg potencjalnych odbiorców. Po kliknięciu w odnośnik ofiara jest przekierowywana na stworzoną przez hakerów witrynę, a na jej urządzeniu instalowany jest backdoor.
W ramach kampanii grupa wspierana przez Koreę Północną wykorzystuje wiele platfrom internetowych do nawiązania kontaktu z potencjalnymi celami, w tym m.in. Twittera, LinkedIn, Telegrama, Discorda czy Keybase’a.
Google w raporcie ostrzega specjalistów przed zagrożeniem i apeluje o zachowanie czujności podczas wchodzenia w relacje w sieci z osobami, z którymi wcześniej nie mieli żadnego kontaktu.