Северокорейские хакеры атакуют специалистов по ИБ

Злоумышленники из Северной Кореи сосредоточили свои усилия на специалистах по безопасности. Это уже вторая такая кампания за последние годы.

В январе 2021 года Google обнаружила, что хакеры из КНДР целятся не в обычных граждан или организации, а напрямую в экспертов по кибербезопасности. Согласно недавнему отчету в блоге команды по анализу угроз Google, теперь они атакуют с новой уязвимостью, фальшивыми программными средствами и широкомасштабным фишингом.

«К сожалению, атаки на исследователей в области кибербезопасности стали обыденностью. Их число и сложность растут с каждым годом», — отмечает Кэлли Гюнтер из Critical Start. «Эти действия сложны и направлены не только на кражу данных, но и на изучение механизмов защиты, совершенствование своих методов и улучшение скрытности».

В своих атаках хакеры из Северной Кореи используют два довольно разных подхода. Первый — основан на социальной инженерии, второй — на размещении зараженного инструментария для специалистов по ИБ.

Так, около двух лет назад хакеры начали целенаправленно атаковать специалистов по безопасности через социальные сети. Тогда их жертвой стали некоторые специалисты Google.

Учетные записи, которые они использовали, в основном имели типичные американские имена, например, «Джеймс Уилли» и «Билли Браун». Хакеры даже создали оригинальный контент на тему кибербезопасности, чтобы подкрепить правдоподобность своих вымышленных профилей.


Фейк-аккаунт северокорейских хакеров

Злоумышленники вели долгие разговоры с одной из своих потенциальных жертв через Twitter, обсуждая общие интересы и возможное будущее сотрудничество. Далее диалоги чаще всего переносились в зашифрованные мессенджеры, например, Signal или WhatsApp. Как только уровень доверия достигал определенной степени, атакующий отправлял файл с уязвимостью нулевого дня для известного программного продукта (Google не делится деталями об уязвимости).

Если жертва открывала файл, встроенный код проверял, не запущен ли он на виртуальном устройстве (в таком случае никакого действия не происходило), а затем отправлял данные о взломанном устройстве злоумышленнику, в том числе скриншот, и связывался с сервером управления (C2).



Второй вектор атаки менее изощренный и более привычный. Через аккаунт dbgsymbol на Github, злоумышленники создают образ специалиста, размещая демонстрационные версии уязвимостей (PoC) и инструменты безопасности. Среди них наиболее популярный — «getsymbol», который представлен как инструмент для скачивания отладочных символов с серверов компаний вроде Microsoft и Google. «Getsymbol» действительно выполняет обещанные функции, но также позволяет злоумышленникам выполнять код на устройстве.

Таким образом, эксперты в области кибербезопасности должны быть особенно настороже, чтобы не попасться на такие уловки.