Η Google κοινοποίησε μία έκθεση στην οποία αποκαλύπτει ότι χάκερς της Βόρειας Κορέας στοχεύουν μέσω social media ερευνητές ασφαλείας που συμμετέχουν σε έρευνα για ευπάθειες. Οι επιθέσεις εντοπίστηκαν από το Google Threat Analysis Group (TAG), μια ομάδα ασφαλείας της Google που εξειδικεύεται στο κυνήγι APT hacking ομάδων.
Πιο αναλυτικά, η Google ανέφερε ότι οι χάκερς της Βόρειας Κορέας χρησιμοποίησαν προφίλ σε διάφορα δημοφιλή social media – όπως το Twitter, το LinkedIn, το Telegram, το Discord και το Keybase – για να επικοινωνήσουν με ερευνητές ασφαλείας, χρησιμοποιώντας fake personas. Σε κάποιες περιπτώσεις μάλιστα, οι χάκερς επιχείρησαν να προσεγγίσουν τους ερευνητές ασφαλείας μέσω email.
Ο Adam Weidemann, ερευνητής ασφαλείας του Google TAG, επεσήμανε ότι αφού οι χάκερς καθιέρωναν τις αρχικές επικοινωνίες, ρωτούσαν τον ερευνητή – στόχο αν ήθελενα συνεργαστούν για την έρευνα σχετικά με τις ευπάθειες, και στη συνέχεια παρείχαν στον ερευνητή ένα Visual Studio Project.
Το Visual Studio Project περιείχε κακόβουλο κώδικα που εγκαθιστούσε malware στο λειτουργικό σύστημα του στοχευμένου ερευνητή. Το malware λειτουργούσε ως backdoor, επικοινωνώντας με έναν απομακρυσμένο C&C server και περιμένοντας εντολές.
Ο Wiedemann εξήγησε ότι οι επιτιθέμενοι δεν διένειμαν πάντα κακόβουλα αρχεία στους στόχους τους. Σε ορισμένες περιπτώσεις, ζητούσαν από τους ερευνητές ασφαλείας να επισκεφθούν ένα blog που είχαν φιλοξενήσει στο blog [.] Br0vvnn [.] Io. Σύμφωνα με την Google, το blog φιλοξενούσε κακόβουλο κώδικα που «μόλυνε» τον υπολογιστή του ερευνητή ασφαλείας, αφότου αποκτούσε πρόσβαση στο site. Συγκεκριμένα, ο Weidemann σημείωσε ότι εγκαθίστατο μια κακόβουλη υπηρεσία στο σύστημα του ερευνητή και ένα backdoor στη μνήμη που άρχισε να μεταφέρει data σε έναν C&C server που ελεγχόταν από τους χάκερς.
Το Google TAG πρόσθεσε ακόμη ότι πολλά θύματα που έχουν πρόσβαση στο site εκτελούν «πλήρως ενημερωμένες εκδόσεις των Windows 10 και του Chrome browser», παρόλα αυτά και πάλι «μολύνθηκαν».
Οι λεπτομέρειες σχετικά με τις browser-based επιθέσεις είναι μέχρι στιγμής ελάχιστες. Ωστόσο, ορισμένοι ερευνητές ασφαλείας πιστεύουν ότι οι χάκερς της Βόρειας Κορέας χρησιμοποίησαν κατά πάσα πιθανότητα έναν συνδυασμό ευπάθειας Chrome και Windows 10 για να αναπτύξουν τον κακόβουλο κώδικα.
Έτσι, η ομάδα του Google TAG ζητά από την κοινότητα κυβερνοασφάλειας να κοινοποιήσει περισσότερες πληροφορίες σχετικά με τις εν λόγω επιθέσεις, εάν κάποιοι ερευνητές ασφαλείας πιστεύουν ότι έχουν μολυνθεί.
Η έκθεση του Google TAG περιλαμβάνει μια λίστα με συνδέσμους για τα ψεύτικα social media προφίλ που έχουν χρησιμοποιήσει οι χάκερς της Βόρειας Κορέας για να προσεγγίσουν ερευνητές ασφαλείας.
Επιπλέον, στους ερευνητές ασφαλείας συνιστάται να επανεξετάσουν το ιστορικό περιήγησής τους και να δουν αν αλληλεπιδρούν με οποιοδήποτε από αυτά τα προφίλ ή εάν έχουν πρόσβαση στο κακόβουλο domain blog.br0vvnn.io. Σε περίπτωση που το έκαναν, είναι πιθανότερο να έχουν μολυνθεί και θα πρέπει να λάβουν ορισμένα μέτρα για τη διερεύνηση των συστημάτων τους.
Όπως αναφέρει το ZDNet, οι χάκερς της Βόρειας Κορέας στοχεύουν ερευνητές ασφαλείας φιλοδοξώντας να κλέψουν exploits για ευπάθειες που ανακαλύφθηκαν από τους μολυσμένους ερευνητές, ευπάθειες με τις οποίες οι κακόβουλοι παράγοντες θα μπορούσαν να αναπτύξουν τις επιθέσεις τους με ελάχιστο ή καθόλου αναπτυξιακό κόστος.
Εν τω μεταξύ, αρκετοί ερευνητές ασφαλείας έχουν ήδη αποκαλύψει στα social media ότι έλαβαν μηνύματα από τους λογαριασμούς των επιτιθέμενων, αν και κανένας δεν παραδέχτηκε ότι έχουν παραβιαστεί συστήματα.
