Google ostrzega, że północnokoreańscy hakerzy atakują badaczy luk w zabezpieczeniach za pomocą ataków dnia zerowego
Piotr R
12 września 2023
Eksperci do spraw cyberprzestępstw uważają, że sponsorowani przez państwo południowokoreańscy hakerzy, wspierani przez reżim w Korei Północnej, wykorzystują exploity zero-day, aby atakować badaczy cyberbezpieczeństwa pracujących w dziedzinie badań i rozwoju podatności na zagrożenia. Takie ostrzeżenie wydała grupa ds. analizy zagrożeń Google (TAG) pod koniec ubiegłego tygodnia, dwa i pół roku po tym, jak grupa ta po raz pierwszy wspominała o tym zjawisku.
Jak działają południowokoreańscy hakerzy?
Według Google północnokoreańscy hakerzy wykorzystują konta w mediach społecznościowych do budowania relacji z docelowymi badaczami, udając, że są zainteresowani współpracą przy dochodzeniach w sprawie luk w zabezpieczeniach.
W jednym przypadku początkowo skontaktowano się z legalnym badaczem bezpieczeństwa w witrynie znanej wcześniej jako Twitter, zanim rozmowa została przeniesiona na aplikacje do szyfrowania wiadomości, takie jak Signal, WhatsApp lub Wire.
Wspierani przez Koreę Północną hakerzy stojący za tą kampanią są gotowi spędzić tygodnie lub miesiące na oszukiwaniu zamierzonych celów, aby uwierzyły, że są innymi badaczami luk w zabezpieczeniach, potwierdzając wiarygodność i wiarygodność, umieszczając linki do badań na swoich blogach lub Githubie.
Ostatecznie, gdy między hakerem a docelowym badaczem zostanie zbudowany pewien stopień zaufania, osoba atakująca wyśle złośliwy plik. Jeśli kod ten zostanie otwarty przez badacza, najpierw sprawdza, czy jest analizowany na maszynie wirtualnej, a jeśli nie, wysyła informacje i zrzuty ekranu z komputera ofiary do atakujących.
TAG twierdzi, iż ma świadomość, że w ciągu ostatnich kilku tygodni „co najmniej jeden aktywnie wykorzystywany dzień zerowy został wykorzystany jako cel badaczy bezpieczeństwa”, dodając, że poinformował o tym dostawcę, którego to dotyczy, który jest w trakcie łatania luki.
Google udostępnił zrzut ekranu kontrolowanego przez hakerów profilu na Twitterze użytego w atakach, który został już zawieszony.
Google TAG ostrzega potencjalne ofiary
Zespół Google TAG twierdzi, że skontaktował się z wybranymi użytkownikami Gmaila i Google Workspace, o których wiedział, że są one celem, ostrzegając ich o kampanii i doradzając im, aby zapewnili sobie zwiększone bezpieczeństwo w swoim miejscu pracy i zaktualizowali swoje urządzenia.
Ponadto Google twierdzi, że dodał wszystkie witryny i domeny, które zidentyfikował do wykorzystania w ataku, do swojej inicjatywy Bezpieczne przeglądanie, chroniąc użytkowników przed wykorzystywaniem. Ponadto udostępnił szczegółowe informacje na temat niektórych różnych kont utworzonych przez hakerów na Twitterze, Wire i instancji Mastodon infosec.exchange.z
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.