Bezpečnostný tím pre analýzu hrozieb spoločnosti Google (TAG), ktorý sa zaoberá lovom skupín pokročilých pretrvávajúcich hrozieb, v týchto dňoch spozoroval, že severokórejskí hackeri sa zameriavajú na výskumníkov kyberbezpečnostných zraniteľností.
Hackeri podporovaní severokórejskou vládou mali na oslovenie výskumníkov použiť profily na rôznych sociálnych sieťach, napríklad Twitter, LinkedIn, Keybase či Discord. Vo viacerých prípadoch využili aj e-mail.
https://twitter.com/craiu/status/1353964086455902208
Adam Weidemann v správe spoločnosti Google TAG uviedol podrobnosti: „Po nadviazaní počiatočnej komunikácie sa aktéri spýtali cieľového výskumného pracovníka, či by chcel spolupracovať na výskume zraniteľností a potom by mu poskytli projekt vo Visual Studio.“
Nazdieľaný projekt obsahuje škodlivý kód a DDL skript, ku ktorého spusteniu dôjde cez softvérovú funkciu Build Events. Malvér potom kontaktuje riadiaci server a čaká na príkazy.
Útočníci však k infikovaniu počítačov výskumníkov vymysleli aj druhú cestu. V mnohých prípadoch nešlo o priamu distribúciu súboru, ale o podnietenú návštevu škodlivého blogu. Po jeho návšteve boli do napadnutého počítača inštalované pamäťové zadné vrátka.
Podrobnosti o priebehu samotných útokov zatiaľ nie sú zrejmé. Experti sa domnievajú, že mohli využívať nedostatky zabezpečenia prehliadača Chrome a operačného systému Windows 10.
Sabína Huťová