Iz Googlea su danas izjavili da je hakerska skupina sjevernokorejske vlade ciljala članove zajednice kibernetičke sigurnosti koji se bave istraživanjem ranjivosti. Napadaje je primijetila Googleova skupina za analizu prijetnji (TAG), Googleov sigurnosni tim specijaliziran za lov na napredne grupe za trajnu prijetnju (APT).
U izvješću, Google je rekao da su sjevernokorejski hakeri koristili više profila na raznim društvenim mrežama, kao što su Twitter, LinkedIn, Telegram, Discord i Keybase, kako bi kontaktirali istraživače sigurnosti koristeći lažne profile. E-pošta se također koristila u nekim slučajevima, rekli su iz Googlea.
"Nakon uspostavljanja početne komunikacije, hakeri bi pitali ciljanog istraživača žele li zajedno surađivati na istraživanju ranjivosti, a zatim bi istraživaču pružili projekt Visual Studio", rekao je Adam Weidemann, sigurnosni istraživač s Google TAG-om.
Projekt Visual Studio sadržavao je zlonamjerni kôd koji je instalirao zlonamjerni softver na operativni sustav ciljanog istraživača. Zlonamjerni softver djelovao je kao backdoor, kontaktirajući udaljeni poslužitelj za naredbe i kontrolu i čekajući naredbe.
Otkriven je i novi misteriozni napad preglednika
No Wiedemann je rekao da napadači nisu uvijek distribuirali zlonamjerne datoteke svojim ciljevima. U nekim su drugim slučajevima tražili od sigurnosnih istraživača da posjete blog koji je hostirao zlonamjerni kôd koji je zarazio računalo sigurnosnog istraživača nakon pristupa web mjestu.
"Zlonamjerna usluga instalirana je na sustav istraživača i stražnja vrata u memoriji započela bi s praćenjem naredbi za upravljanje", rekao je Weidemann.
No, Google TAG je također dodao da su mnoge žrtve koje su pristupile web mjestu imale "potpuno zakrpane i ažurne verzije preglednika Windows 10 i Chrome" no svejedno su se zarazile.
Pojedinosti o napadima na pregledniku i dalje su rijetki, no neki sigurnosni istraživači vjeruju da je sjevernokorejska grupa najvjerojatnije koristila kombinaciju ranjivosti nultih dana Chrome i Windows 10 za postavljanje svog zlonamjernog koda.
Kao rezultat toga, tim Google TAG-a trenutno traži od zajednice cyber-sigurnosti da podijeli više detalja o napadima, ako neki od sigurnosnih istraživača vjeruju da su zaraženi.
Izvješće Google TAG uključuje popis veza za lažne profile na društvenim mrežama kojima su sjevernokorejski hakeri namamili i zavarali članove sigurnosne zajednice. Istraživačima sigurnosti savjetuje se da pregledaju svoje povijesti pregledavanja i vide jesu li komunicirali s bilo kojim od tih profila ili su pristupili zlonamjernoj domeni blog.br0vvnn.io.
U slučaju da jesu, najvjerojatnije su zaraženi i treba poduzeti određene korake kako bi se istražili njihovi vlastiti sustavi.
Razlog ciljanja sigurnosnih istraživača prilično je očit jer bi sjevernokorejskoj skupini mogao omogućiti krađu ranjivosti koje su otkrili zaraženi istraživači, ranjivosti koje bi hakeri mogli primijeniti u vlastitim napadima s malo ili nimalo troškova razvoja.
U međuvremenu je nekoliko istraživača sigurnosti na društvenim mrežama već otkrilo da su primali poruke s računa napadača, iako niti jedan nije priznao da im je kompromitiran sustav.