Hackers χρησιμοποίησαν άγνωστα, μέχρι πρόσφατα, εργαλεία με σκοπό να κατασκοπεύσουν οργανισμούς άμυνας και αεροδιαστημικής. Οι επιθέσεις ξεκίνησαν με phishing emails και social engineering και ήταν πολύ στοχευμένες. Οι ερευνητές της McAfee μίλησαν για πρώτη φορά γι’ αυτή την εκστρατεία, που είναι γνωστή ως Operation North Star, πριν μερικούς μήνες.
Ωστόσο, συνεχίστηκαν έρευνες και ήρθαν στο φως περισσότερες λεπτομέρειες. Οι ερευνητές ανακάλυψαν πρόσθετες τακτικές και τεχνικές των hackers, που μοιάζουν αρκετά με αυτές της ομάδας Lazarus Group. Οι ΗΠΑ έχουν πει ότι η συγκεκριμένη ομάδα εξυπηρετεί τα συμφέροντα της κυβέρνησης της Βόρειας Κορέας.
Σύμφωνα με τα αρχικά στοιχεία, η εκστρατεία κατασκοπείας βασίζεται σε spear-phishing emails και LinkedIn μηνύματα που εμφανίζονται ως μηνύματα πρόσληψης, προκειμένου να παρασύρουν τα θύματα και να τα κάνουν να ανοίξουν κακόβουλα συνημμένα. Οι hackers χρησιμοποίησαν ακόμη και νόμιμες διαφημίσεις πρόσληψης και έγγραφα που ελήφθησαν από δημοφιλή sites οργανισμών άμυνας των ΗΠΑ, για να φαίνονται τα μηνύματα πιο αυθεντικά.
Αλλά τώρα η πρόσθετη ανάλυση της McAfee αποκάλυψε πως οι επιτιθέμενοι μολύνουν τα θύματα σε δύο στάδια. Στο πρώτο στάδιο, οι στόχοι μολύνονται με malware το οποίο επιτρέπει στους εισβολείς να συλλέγουν δεδομένα όπως πληροφορίες δίσκου, ελεύθερο χώρο στο δίσκο, όνομα υπολογιστή, όνομα χρήστη κ.ά.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Έπειτα, οι επιτιθέμενοι αναλύουν αυτές τις πληροφορίες για να προσδιορίσουν εάν αξίζει να συνεχιστεί η επίθεση (αν ο στόχος είναι “υψηλού προφίλ”). Εάν το θύμα δεν θεωρείται αρκετά σημαντικό, οι hackers σταματούν και επικεντρώνονται στη διανομή κακόβουλου λογισμικού σε πιο μεγάλους οργανισμούς (δεύτερο στάδιο).
Στο δεύτερο στάδιο της επίθεσης, χρησιμοποιείται το Torisma, ένα προσαρμοσμένο εργαλείο που επικεντρώνεται στην παρακολούθηση των συστημάτων των θυμάτων υψηλής αξίας. Με αυτόν τον τρόπο, προσπαθούν να αποκτήσουν πρόσβαση σε credentials, ενώ παράλληλα αποφεύγουν την ανίχνευση.
Σύμφωνα με τους ερευνητές της McAfee, οι hackers προσπαθούσαν να πραγματοποιήσουν μια μακροχρόνια εκστρατεία κατασκοπείας, επικεντρωμένη σε συγκεκριμένα άτομα που κατέχουν σημαντικές θέσεις.
Κατά την επιχείρηση “Operation North Star”, οι hackers έκαναν έρευνα για τους στόχους τους και δημιουργούσαν ειδικό περιεχόμενο για να προσελκύσουν τα θύματα και στη συνέχεια να τα μολύνουν με κακόβουλο λογισμικό, που θα επέτρεπε την κατασκοπεία.
Η αρχική αναφορά που είχε κυκλοφορήσει πριν μερικούς μήνες, μίλαγε για επιθέσεις στις ΗΠΑ, αλλά στην πραγματικότητα οι hackers είχαν στοχεύσει τεχνολογικές εταιρείες και οργανισμούς άμυνας και αεροδιαστημικής και στο Ισραήλ, τη Ρωσία, την Ινδία και την Αυστραλία.
“Οι hackers πίσω από την εκστρατεία είναι πιο “εξελιγμένοι” από ό,τι φαινόταν αρχικά. Είναι συγκεντρωμένοι σε αυτό που θέλουν να επιτύχουν και πιο πειθαρχημένοι και υπομονετικοί για την επίτευξη του στόχου τους“, δήλωσαν οι ερευνητές.
Η κατασκοπεία στον κυβερνοχώρο δεν είναι η μόνη μορφή κυβερνοεπιθέσεων στις οποίες εμπλέκεται η Βόρεια Κορέα. Οι hackers που δουλεύουν για την κυβέρνηση της χώρας συμμετέχουν σε εκστρατείες εξόρυξης cryptocurrencies, ενώ έχουν, επίσης, κατηγορηθεί για το καταστροφικό WannaCry ransomware.
Πηγήq ZDNet