Kuzey Kore devlet destekli tehdit aktörleri, güvenlik araştırmacılarını hedef alıyor; bu, son birkaç yılda bu türden ikinci kampanya.
Google ilk olarak Kuzey Kore saldırganlarınındeğil Ocak 2021’de masum, savunmasız kişi veya kuruluşların peşine düşmek yerine, siber güvenlik profesyonellerinin kendileri. Artık saldırganlar tamamen yeni bir sıfır gün güvenlik açığı, sahte bir yazılım aracı ve buna eşlik edecek oldukça kapsamlı kimlik avı saldırılarıyla geri döndü. yeni bir blog yazısına göre Google’ın Tehdit Analizi Grubundan.
Critical Start’ın siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, “Maalesef siber güvenlik araştırmalarına dahil olanların hedef alınması nadir değildir. Aslında yıllar geçtikçe daha sık ve karmaşık hale geldi” diyor. “Bu operasyonlar çok yönlüdür; yalnızca bilgi çalmayı değil, aynı zamanda savunma mekanizmaları hakkında bilgi edinmeyi, taktiklerini hassaslaştırmayı ve gelecekte tespit edilmekten daha iyi kaçınmayı da amaçlamaktadır.”
Güvenlik Mühendisleri için Sosyal Mühendislik
Google’dan araştırmacılar bu garip hacker ekibinin haberini ilk kez iki yıldan fazla bir süre önce, sosyal medyadaki güvenlik profesyonellerinin gelen kutularını doldurmaya başladığında duydular. Söz konusu hesaplara büyük ölçüde “James Willy” ve “Billy Brown” gibi genel görünen Amerikan isimleri verildi ve sosyal mühendisler, sahte kişiliklerine meşruiyet kazandırmak için gerçek siber güvenlik araştırma içeriği bile oluşturdular.
Bu düzeydeki çaba, son kampanyalarında bir kez daha sergileniyor. Örneğin, kullanarak X’te (eski adıyla Twitter) o zamandan beri devre dışı bırakılmış bir hesapSaldırganlar, hedeflerinden biriyle aylarca süren bir görüşme gerçekleştirerek ortak ilgi alanlarını ve gelecekteki işbirliği olasılığını tartıştı.
Konuşmalar daha sonra genellikle Signal veya WhatsApp gibi şifreli bir mesajlaşma uygulamasına taşındı. Yeterli güven sağlandıktan sonra, tehdit aktörü en sonunda popüler bir yazılım paketindeki sıfır gün güvenlik açığını içeren bir dosyayı iletecektir. (Google, satıcının yama yapmak için zamanı olana kadar her ikisiyle ilgili daha fazla ayrıntıyı gizliyor.)
Kurban tuzağa düşerse ve dosyayı çalıştırırsa, indirilen kabuk kodu öncelikle sanal makinede çalışıp çalışmadığını kontrol eder – bu durumda etkisiz olur – saldırgana ekran görüntüsü de dahil olmak üzere ele geçirilen cihaz hakkında bilgi göndermeden önce. kontrollü komuta ve kontrol (C2) altyapısı.
Polisler ve soyguncular
Bu daha karmaşık yolun yanı sıra, saldırganlar yoldan geçen ortalama araştırmacıyı tuzağa düşürmek için başka bir gevşek yöntem daha uydurmuş gibi görünüyor.
İtibaren Github hesabı dbgsymbolSaldırganlar, kavram kanıtları (PoC’ler) ve güvenlik “araçları” yayınlayarak araştırmacı kişiliklerini genişletiyor. Aralarında en popüler olanı “sembol alır” Geçtiğimiz Eylül ayında yayınlandı ve o zamandan beri birçok kez güncellendi – kendisini “Windows 8.1, 10 ve 11 ile uyumlu tersine mühendislikler için Microsoft, Google, Mozilla ve Citrix sembol sunucularından hata ayıklama sembollerini indirmek için basit bir araç” olarak pazarlıyor.
getsymbol aslında söylediği şeyi yapıyor. Ancak aynı zamanda geliştiricilerin, onu indiren herhangi bir araştırmacının makinesinde rastgele kod çalıştırmasına da olanak tanır. Bu yazının yazıldığı an itibarıyla 23 kez çatallandı.
Günther, dünya çapında dijital güvenliğin koruyucuları olarak güvenlik profesyonellerinin bu tür hilelere kapılmadıklarından daha fazla emin olmaları gerektiğini vurguluyor.
“Güvenlik araştırmacılarının hacklenmesi sadece tek bir başarılı ihlalden ibaret değil” diyor ve bu düşmanlar için sadece bir oyun da değil. “Bu stratejik bir hamle. Güvenlik araştırmacıları, güvenlik açıklarını keşfetme ve azaltma teknikleri geliştirmede ön saflarda yer alıyor. Kötü niyetli aktörler, sistemlerine sızarak henüz açıklanmayan güvenlik açıklarına, özel araçlara ve tehdit istihbaratının değerli veritabanlarına erişim sağlayabilir. Dahası, bu araştırmacılar ulusal öneme sahip projelerde yer alabilirler ve bu da onları casusluk için cazip hedefler haline getirebilir.”
Google TAG, Dark Reading’e gönderdiği bir e-postada potansiyel hedefler için bazı tavsiyelerde bulundu: “Bilinmeyen üçüncü taraflardan ne çalıştırdığınız ve açtığınız şeyler konusunda son derece dikkatli olun. Bu grup, herhangi bir kötü niyetli girişimde bulunmadan önce uyum oluşturmak için zaman ayırmaya istekli olduklarını gösterdi. hareketler.”