Google upozorava da hakeri iz Sjeverne Koreje vrebaju IT stručnjake

Sigurnosni tim Google TAG otkrio je organiziranu kampanju socijalnog inženjeringa usmjerenu prema sigurnosnim stručnjacima. Napadači su navodno sponzorirani od strane Sjeverne Koreje

Sandro Vrbanus utorak, 26. siječnja 2021. u 17:37

Googleov sigurnosni odjel Threat Analysis Group (TAG) tijekom proteklih je nekoliko mjeseci identificirao organiziranu kampanju hakiranja usmjerenu ka informatičkim i sigurnosnim stručnjacima zaposlenima u različitim kompanijama i organizacijama. Ovo upozorenje iz TAG-a sadrži i opis ove kampanje – navodno su stručnjaci, koji mahom rade na otkrivanju ranjivosti, kontaktirani putem društvenih mreža.

Napadači im se predstavljaju kao "kolege", a navode da je pothvat dobro organiziran potkrepljuje i činjenica da su hakeri izradili i "istraživački blog" te otvorili brojne račune na društvenim mrežama (Twitteru, LinkedInu, Telegramu, Discordu, Keybaseu), kao i e-mail adrese s kojih pokušavaju doprijeti do IT stručnjaka.

Meta su sigurnosni stručnjaci

Na svojem "blogu" objavljuju razne linkove i video zapise navodnih propusta koje su otkrili, te tako pokušavaju stupiti u kontakt sa sigurnosnim stručnjacima iz cijelog svijeta. U slučaju da se uspiju s nekima od njih povezati, pokušavaju ih nagovoriti na suradnju. Nakon toga, ako i taj korak socijalnog inženjeringa uspije, metama se šalju "projekti" u Visual Studiju, koji – naravno – sadrže zlonamjerne datoteke. Primijećeno je da malware distribuiraju i putem spomenutog lažnog bloga.

Primjeri Twitter računa lažnih IT stručnjaka
Primjeri Twitter računa lažnih IT stručnjaka

Jednom kada žrtva na neki od ovih načina dobije i pokrene zloćudne datoteke, one pokreću maliciozni program koji odmah pokušava stupiti u kontakt s nekom od napadačevih kompromitiranih domena. Popis sumnjivih domena i računa na društvenim mrežama povezanih s ovim napadom dostupan je na TAG blogu.

Googleovi istraživači kažu kako su napadače u ovoj kampanji uspjeli povezati s hakerskom skupinom u Sjevernoj Koreji, koju navodno financiraju tamošnje vlasti.