Wzmożona aktywność

Zdaniem Google Threat Analiysis Group, w ostatnim czasie zarejestrowano wiele prób cyberataków wymierzonych w badaczy do spraw bezpieczeństwa. Ich organizatorami miały być ugrupowania hakerskie z Korei Północnej. Firma wymienia, że celem ataków padli zwłaszcza badacze związani z social mediami takimi jak Twitter, LinkedIn, Telegram, Discord czy Keybase.

Dobra oferta pracy

Atak przeprowadzano za każdym razem w taki sam sposób. Specjalistom składano propozycję współpracy przy badaniu luk w zabezpieczeniach, a następnie dostarczano im niezbędne w pracy narzędzie – Visual Studio Project. Był w nim zaszyty złośliwy kod, tworzący backdoory w komputerach badaczy.

Oprogramowanie nie zawsze było dostarczane bezpośrednio, często ofiary dostawały wyłącznie odsyłacz do bloga, umożliwiającego jego pobranie. Grupa TAG ustaliła, że infekcja nastąpiła także u użytkowników korzystających z najnowszych wersji Windowsa 10 i Chrome’a, więc aktualizacja nie eliminuje problemu. Możliwe, że skorzystano z niezałatanych jeszcze luk.

Wykraść luki i błędy

Firma póki co bada zdarzenie i apeluje do osób znajdujących się w gronie potencjalnych celów o sprawdzenie, czy ich komputery miały styczność z domeną blog.br0vvnn.io (lepiej nie testować tego adresu we własnej przeglądarce) lub kilkoma profilami na Twitterze. Jasny jest natomiast cel ataku. Przestępcom zależało głównie na zdobyciu opisów wykrytych luk i możliwość wykorzystania ich do przeprowadzenia włamań, nim zostaną załatane przez poszczególne firmy.

fot. Pixabay