Coreea de Nord a vizat cercetătorii în domeniul securității cibernetice folosind un amestec de hacking și spionaj

Hackerii nord-coreeni au organizat un atac îndrăzneț care vizează cercetătorii în materie de securitate cibernetică, dintre care mulți lucrează pentru a contracara hackerii din locuri precum Coreea de Nord, Rusia, China și Iran. Atacul a presupus eforturi sofisticate de a înșela anumite persoane, ceea ce ridică nivelul de inginerie socială sau atacuri de phishing și intră în domeniul navelor comerciale spion.

Atacul, raportat de cercetătorii Google, s-a axat pe conturi de socializare false pe platforme, inclusiv pe Twitter. Persoanele false, care se prezintă ca hackeri etici, au contactat cercetătorii în domeniul securității cu oferte de colaborare la cercetare. Conturile de pe rețelele de socializare includeau conținut despre securitate cibernetică și videoclipuri falsificate care pretindeau să arate noi vulnerabilități de securitate cibernetică.

Hackerii i-au adus pe cercetători să facă clic pe linkuri către proiecte de coduri partajate – depozite de software legate de cercetarea securității cibernetice – care conțineau coduri rău intenționate concepute pentru a oferi hackerilor acces la computerele cercetătorilor. Mai mulți cercetători în domeniul securității cibernetice au raportat că au fost victime ale atacului.

Cel mai scăzut nivel de hack de inginerie socială este un atac tipic de phishing: mesaje impersonale trimise multor oameni în speranța că cineva va fi înșelat să facă clic pe un link rău intenționat. Atacurile de phishing au crescut în general de la începutul anului 2020 – un efect secundar al mediului de lucru de la domiciliu condus de pandemie, în care oamenii sunt uneori mai puțin vigilenți. Acesta este și motivul pentru care ransomware-ul a devenit predominant.

Următorul nivel de sofisticare este spear-phishing-ul. Aici oamenii sunt vizați cu mesaje care includ informații specifice lor sau organizațiilor lor, ceea ce crește probabilitatea ca cineva să facă clic pe un link rău intenționat.

Operațiunea nord-coreeană se află la un nivel mai ridicat decât spear-phishingul, deoarece a vizat persoanele care sunt preocupate de securitate prin natura ocupației lor. Acest lucru a impus hackerilor să creeze conturi convingătoare de social media completate cu conținut despre securitatea cibernetică, inclusiv videoclipuri, care ar putea păcăli cercetătorii în domeniul securității cibernetice.

Operațiunea nord-coreeană evidențiază trei tendințe importante: furtul armelor cibernetice din industrie, a rețelelor sociale ca armă și estomparea războiului informatic și cibernetic.

Înainte de operațiunea nord-coreeană, furtul armelor cibernetice a ajuns la titlu la sfârșitul anului 2020. În special, încălcarea FireEye din decembrie a dus la furtul de instrumente utilizate de hackeri etici. Aceste instrumente au fost utilizate pentru a sparge securitatea clienților corporativi pentru a le arăta clienților vulnerabilitățile lor.

Acest incident anterior, atribuit Rusiei, ilustrează modul în care hackerii au încercat să-și mărească arsenalele de arme cibernetice furând de la o firmă comercială de securitate cibernetică. Acțiunea nord-coreeană împotriva cercetătorilor în domeniul securității arată că aceștia au adoptat o strategie similară, deși cu o tactică diferită.

În toamnă, Agenția Națională de Securitate a dezvăluit o listă de vulnerabilități – modalități prin care software-ul și rețelele pot fi piratate – care au fost exploatate de hackeri sponsorizați de stat chinezi. În ciuda acestor avertismente, vulnerabilitățile au persistat, iar informații despre cum să le exploatăm ar putea fi găsite pe social media și pe dark web. Aceste informații au fost suficient de clare și detaliate încât compania mea, CYR3CON, a reușit să folosească învățarea automată pentru a prezice utilizarea acestor vulnerabilități.

Operațiunile de informare – colectarea informațiilor și diseminarea dezinformării – pe rețelele de socializare au devenit abundente în ultimii ani, în special cele efectuate de Rusia. Aceasta include utilizarea „roboților sociali” pentru a răspândi informații false. Această „rețea socială patogenă” a fost utilizată atât de agenții de informații naționali, cât și de hackeri obișnuiți.

În mod tradițional, acest tip de direcționare a fost conceput pentru a răspândi dezinformarea sau a atrage un executiv sau un angajat guvernamental de rang înalt să facă clic pe un link rău intenționat. În schimb, operațiunea nord-coreeană a avut drept scop furtul de arme cibernetice și informații despre vulnerabilități.

În afara Statelor Unite – în special în China și Rusia – operațiunile cibernetice sunt considerate parte a unui concept mai larg de război al informațiilor. Rușii, în special, s-au dovedit foarte abili în combinarea operațiunilor de informare și a operațiunilor cibernetice. Războiul informațional include folosirea navelor tradiționale spion – agenți cu identități false care încearcă să câștige încrederea țintelor lor – pentru a colecta și disemina informații.

Atacul împotriva cercetătorilor în domeniul securității cibernetice ar putea indica faptul că Coreea de Nord ia indicii de la aceste alte puteri. Capacitatea redusă a unui regim autoritar de rangul al doilea, cum ar fi Coreea de Nord, de a arma social media îi oferă un avantaj față de capacitățile tehnice mult mai mari ale SUA.

În plus, nord-coreenii par să fi folosit una dintre cele mai valoroase arme cibernetice în această operațiune. Google a raportat că se pare că hackerii foloseau un mijloc de exploatare a unei vulnerabilități de zi zero – o defecțiune a software-ului care nu este cunoscută pe scară largă – în browserul Chrome Google în atacul asupra cercetătorilor în materie de securitate cibernetică. Odată ce se folosește un astfel de exploat, oamenii sunt alertați să se apere împotriva acestuia și devin mult mai puțin eficienți.

În securitatea cibernetică, știrile mari tind să fie evenimente precum operațiunea Sunburst a hackerilor ruși din decembrie – atacuri cibernetice la scară largă care provoacă mari daune. În atacul Sunburst, hackerii ruși au folosit software-ul utilizat pe scară largă, care le-a permis accesul la rețelele numeroaselor corporații și agenții guvernamentale.

Aceste evenimente mari sunt adesea urmate de evenimente mai mici în care se experimentează noi tehnici – adesea fără a avea un impact mare. În timp ce timpul ne va da seama dacă acest lucru este adevărat pentru operațiunea nord-coreeană, cele trei tendințe actuale – furtul de arme cibernetice din industrie, rețelele sociale ca armă și estomparea războiului cibernetic și al informațiilor – sunt prevestitoare a lucrurilor viitoare.

DISTRIBUIE MAI DEPARTE!