Η Google αποκαλύπτει hacking εκστρατεία των Βορειοκορεατών

Χρησιμοποιούν social engineering μέσω social media
26 Ιανουαρίου 2021 10:41
Η Google αποκαλύπτει hacking εκστρατεία των Βορειοκορεατών

Ερευνητές του Threat Analysis Group (TAG) της Google, αποκάλυψαν μία hacking εκστρατεία που έχει ξεκινήσει η Βόρεια Κορέα, στην οποία στοχεύει ειδικούς κυβερνοασφάλειας στα social media με σκοπό να τους εκμαιεύσει πληροφορίες για τρέχοντες έρευνες.

Τους τελευταίους μήνες η TAG αναγνώρισε μία εκστρατεία η οποία στοχεύει ειδικούς ασφαλείας οι οποίοι εργάζονται στην έρευνα και αντιμετώπιση ευπαθειών για διαφορετικές εταιρίες και οργανισμούς. Οι δράστες πίσω από αυτήν την εκστρατεία, τους οποίους αναγνωρίζουμε ως μία οντότητα που στηρίζεται από την κυβέρνηση στη Βόρεια Κορέα, έχουν υιοθετήσει ένα μεγάλο αριθμό κόλπων για να στοχεύσουν τους ερευνητές. – Adam Weidmann, TAG

Οι hackers χρησιμοποιούν διάφορες social media πλατφόρμες για να επικοινωνήσουν με τους στόχους τους, όπως Twitter, Telegram, Discord, emails και άλλα. Στοχεύουν κυρίως Windows χρήστες.

Για να δημιουργήσουν μία αξιόπιστη σύνδεση με τους ερευνητές ασφαλείας, οι δράστες δημιούργησαν ένα blog έρευνας και πολλαπλά Twitter προφίλ για να αλληλεπιδράσουν με τους στόχους τους. Μέσω των Twitter προφίλ τους αναρτούν videos των υποτιθέμενων exploits και κάνουν retweet τα posts από άλλα accounts που ελέγχουν. Στα blogs τους αναφέρουν αναλύσεις ευπαθειών που ήδη έχουν γίνει δημόσιες, ενώ φιλοξενούν και posts “επισκεπτών” από ανυποψίαστους πραγματικούς ερευνητές για να προσθέσουν επιπλέον αξιοπιστία στο πρόσωπό τους.

Χρησιμοποιώντας την τεχνική του social engineering και αφού έρθουν σε επαφή με το στόχο τους, του ζητούν να συνεργαστούν σε κάποια ευπάθεια μαζί και έπειτα δίνουν στο στόχο τους το Visual Studio Project.

Μέσα στο Visual Studio Project υπάρχει ένας κώδικας για εκμετάλλευση της ευπάθειας, καθώς και επιπλέον DLL που εκτελούνται μέσω του Visual Studio Build Events. Τα DLL είναι ένα ειδικό malware το οποίο δίνει πρόσβαση στο δράστη. Σε κάθε μία περίπτωση, οι ερευνητές ακολούθησαν το link στο Twitter για ένα blog και αμέσως μετά μία κακόβουλη υπηρεσία εγκαταστάθηκε στο σύστημά τους.

Οι ερευνητές του TAG δεν έχουν μπορέσει ακόμα να επιβεβαιώσουν ποιος είναι ο μηχανισμός εισβολής στο σύστημα, καθώς τα θύματα χρησιμοποιούσαν πλήρως αναβαθμισμένες Windows 10 και Chrome εκδόσεις.