Η Ομάδα Ανάλυσης Απειλών (TAG) της Google αναφέρει ότι υπάρχουν νέες επιθέσεις από κρατικούς hackers της Βόρειας Κορέας προς ερευνητές ασφαλείας. Οι επιθέσεις αυτές γίνονται με τη χρήση ενός zero-day bug σε δημοφιλές λογισμικό. Οι ερευνητές που δέχονται επίθεση ασχολούνται με την έρευνα ευπαθειών.
Η Google δεν έχει ακόμη αποκαλύψει λεπτομέρειες σχετικά με την ευπάθεια zero-day που χρησιμοποιείται σε αυτές οι επιθέσεις. Επίσης, δεν έχει αναφέρει το όνομα του ευάλωτου λογισμικού. Aυτό συμβαίνει επειδή ο προμηθευτής εξακολουθεί να διορθώνει το πρόβλημα, αφού ενημερώθηκε από τους ερευνητές της Google.
Οι hackers πλησίασαν τους ερευνητές μέσω Mastodon και Twitter
Οι hackers από τη Βόρεια Κορέα εκμεταλλεύονται τα κοινωνικά δίκτυα Twitter και Mastodon για να προσελκύσουν τους ερευνητές ασφάλειας. Στη συνέχεια, αφού υπάρξει μια πρώτη επικοινωνία, τους ζητούν να μεταβούν σε κρυπτογραφημένες πλατφόρμες ανταλλαγής μηνυμάτων, όπως το Signal, το Wire ή το WhatsApp.
Δείτε επίσης: Android: Οι ενημερώσεις ασφαλείας Σεπτεμβρίου διορθώνουν κρίσιμο zero-day bug
Αφού δημιουργήσουν μια σχέση εμπιστοσύνης και μετακινηθούν σε ασφαλή κανάλια επικοινωνίας, οι εισβολείς στέλνουν στους ερευνητές κακόβουλα αρχεία που έχουν σχεδιαστεί για να εκμεταλλευτούν το zero-day bug.
Το shellcode payload που αναπτύσσεται στα συστήματα των ερευνητών ελέγχει εάν εκτελείται σε εικονική μηχανή και στη συνέχεια στέλνει πληροφορίες (συμπεριλαμβανομένων screenshots) στους command and control servers των εισβολέων.
Οι hackers χρησιμοποιούν, επίσης, το open-source εργαλείο GetSymbol για reverse engineers, που συνήθως βοηθά μόνο στη λήψη Microsoft, Google, Mozilla και Citrix debugging symbols, αλλά σε αυτή την περίπτωση επιτρέπει επίσης τη λήψη και την εκτέλεση κώδικα.
“Εάν έχετε κατεβάσει ή εκτελέσει αυτό το εργαλείο, η TAG συνιστά να λάβετε προφυλάξεις για να βεβαιωθείτε ότι το σύστημά σας είναι καθαρό, κάτι που πιθανότατα απαιτεί επανεγκατάσταση του λειτουργικού συστήματος“, προειδοποίησαν οι ερευνητές της Google Lecigne και Stone.
“Ελπίζουμε ότι αυτό θα υπενθυμίσει στους ερευνητές ασφαλείας ότι θα μπορούσαν να γίνουν στόχοι επιτιθέμενων που υποστηρίζονται από κυβέρνηση, οπότε πρέπει να παραμένουν σε επαγρύπνηση“, δήλωσε η εταιρεία.
Δείτε επίσης: Atlas VPN zero-day: Διαρρέει την διεύθυνση IP των χρηστών
Υπάρχει σύνδεση με προηγούμενη εκστρατεία;
Αυτή η καμπάνια είναι παρόμοια με μια προηγούμενη που διεξήχθη τον Ιανουάριο του 2021. Και εκείνη η καμπάνια χρησιμοποίησε το Twitter και άλλες πλατφόρμες κοινωνικών μέσων όπως το LinkedIn, το Telegram, το Discord και το Keybase για την αρχική επαφή με τα θύματα. Είναι πιθανό να είχε οργανωθεί από τους ίδιους hackers της Βόρειας Κορέας που στόχευαν πάλι ερευνητές ασφαλείας.
Σε εκείνες τις επιθέσεις, οι hackers χρησιμοποίησαν επίσης zero-days για να μολύνουν συστήματα Windows των ερευνητών ασφαλείας με backdoors και κακόβουλο λογισμικό κλοπής πληροφοριών.
Η Microsoft ανέφερε ότι παρακολουθούσε τις επιθέσεις του Ιανουαρίου 2021 και είδε hackers της ομάδας Lazarus να μολύνουν συσκευές ερευνητών, χρησιμοποιώντας αρχεία MHTML με κακόβουλο κώδικα JavaScript.
Δείτε επίσης: Email servers της κυβέρνησης των ΗΠΑ παραβιάστηκαν σε Barracuda zero-day επιθέσεις
Τον Μάρτιο του 2021, η Google TAG αποκάλυψε ότι οι επιθέσεις επαναλήφθηκαν, στοχεύοντας ερευνητές ασφαλείας, μέσω ψεύτικων λογαριασμών στο LinkedIn και στο Twitter και μέσω μιας ψεύτικης εταιρείας με το όνομα SecuriElite.
Αν και η Google δεν έχει αναφέρει ακριβώς τους στόχους αυτών των επιθέσεων, φαίνεται ότι ο πρωταρχικός τους στόχος είναι η απόκτηση πληροφοριών για νέες άγνωστες ευπάθειες ασφαλείας που εξετάζουν οι ερευνητές. Οι hackers χρησιμοποιούν εξελιγμένες τεχνικές για να προσεγγίσουν τους ειδικούς και να τους πείσουν να ανοίξουν κακόβουλα αρχεία ή να επισκεφτούν κακόβουλες ιστοσελίδες. Αυτές οι επιθέσεις δείχνουν ότι κανένας δεν είναι απόλυτα ασφαλής, και ακόμα και οι ειδικοί σε θέματα κυβερνοασφάλειας μπορούν να ξεγελαστούν.
Πηγή: www.bleepingcomputer.com