Cała fałszywa firma zajmująca się ofensywnym ITsec założona przez rządowych hackerów w Korei Północnej. Zasadzka na badaczy bezpieczeństwa IT

31 marca 2021, 22:02 | W biegu | komentarze 4
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

W styczniu Google poinformował o ciekawej kampanii realizowanej przez hakerów sponsorowanych przez rząd Korei Północnej. Fałszywe profile, blog z exploitem do przeglądarki czy wiadomości prywatne na Twitterze – było ciekawie:

Dzisiaj Google opublikował ostrzeżenie przed nową kampanią hakerów reżimu:

Pasjonaci versus profesjonaliści

Na początku hakerzy z Korei Północnej korzystali z fałszywych profili między innymi na Twitterze, aby zbudować fałszywą narrację “pasjonata” szukającego kogoś do pomocy w badaniach:

Tym razem Korea Północna zrezygnowała z pasjonatów i “zainwestowała” w firmę pełną “profesjonalistów”:

Na jej stronie możemy przeczytać, że “Securielite” to “Turecka firma zajmująca się bezpieczeństwem ofensywnym i oferująca szereg usług, takich jak pentesty, audyty bezpieczeństwa czy exploity”. Strona jest jednak przynętą do zwabienia badaczy bezpieczeństwa, a następnie zainfekowania ich urządzeń złośliwym oprogramowaniem wykorzystującym podatności 0-day. Do budowania narracji “poważnej” firmy jej twórcy wykorzystują także fałszywe profile na portalach społecznościowych, takich jak Twitter czy LinkedIn:

Google nie opublikował zbyt wielu informacji na temat złośliwego oprogramowania czy exploitów wykorzystywanych w nowej kampanii. Jest za to dostępna lista fałszywych profili i stron powiązana z tymi atakami:

A na koniec ciekawostka:

Jedno z nazwisk wykorzystanych do utworzenia fałszywego profilu to “Lazarescue”, co prawdopodobnie jest nawiązaniem do ogólnie przyjętej nazwy grupy hakerskiej odpowiedzialnej za tę kampanię – Lazarus.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Ale po co? Gdzie są profity z takiej akcji? Liczą że u researcherów znajdą jakieś 0-daye które będą wykorzystywać dalej?

    Odpowiedz
  2. Tertuci

    A cisco to co?Takie niewinne?A netgear,huawei i inni to co ? Dzialaja w czynie spolecznym?Ludzie zyja w swiadomosci piekna i dobroci.Takich kwiatkow jak w artykule jest wiecej.W pewnych kwestiach dobrze bo podchodza pod sluzby.Kontrola byla jest i bedzie.Inaczedj zamkna interent bo straci swoj sens.

    Odpowiedz
  3. „Ale po co? Gdzie są profity z takiej akcji? Liczą że u researcherów znajdą jakieś 0-daye które będą wykorzystywać dalej?”

    Full profit.exe moj przyjacielu, bo pewnikiem liczyli, ze ze stacji riserczera przedostana sie do stacji/serwerow/sieci do ktorych riserczer ma dostep. Teraz praca zdalna jest, riserczer tez pewnie musi gdzies pracowac, moze gdzies adminuje. Sama slodycz :)

    Odpowiedz
  4. Maciej

    > Ale po co? Gdzie są profity z takiej akcji? Liczą że u researcherów znajdą jakieś 0-daye które będą wykorzystywać dalej?

    Na komputerach specjalistów można znaleźć exploity, dostępy, dane. Jak masz szczęście to zainstalujesz rootkita i masz argumenty do szantażowania osoby z wiedzą. To już tylko krok od przeciągnięcia głupiego speca na swoją stronę i zaoferowania mu „życia jak w raju” u siebie.
    Inna kwestia że gdybym ja był takim specem i by mnie ktoś… dajmy na to fb+g+bing+amzn+apl… przejęli totalnie (kontrola nad telefonem, kamerka, mikrofon, tesla i co tam się da)… to bym wolał poświęcić całkowicie całe swoje życie w celu ustalenia kto na prawdę mnie zhackował i zniszczenia kogoś takiego.

    Odpowiedz

Odpowiedz