Fejvadászoktól érkező megkeresésnek álcázzák leveleiket észak-koreai hackerek, akik így próbálják meg rávenni az áldozataikat – elsősorban a hadiipar, a nemzetvédelem és az energiaszektor munkatársait –, hogy kártevőt telepítsenek a gépeikre.
Az Amerikai Egyesült Államok kiberbiztonsággal foglalkozó hivatala (United States Cybersecurity and Infrastructure Security Agency, CISA) egy friss jelentésében a vállalatokat érintő új támadásformára hívja fel a figyelmet. Az interneten már felbukkant a BLINDINGCAN nevű távoli hozzáférést biztosító trójai, melynek terjesztését az Észak-Korea által támogatott Lazarus csoporthoz kötötték.
Katonai és energetikai információk a fontosak
Az eszközt információgyűjtéshez használják, a támadók kulcsfontosságú katonai és energiaipari információkat keresnek. Ehhez az olyan vállalatok munkatársait támadják célzottan, amelyek külsősként szerződéses munkát végezhetnek ezekben a szektorokban.
Első körben a támadók feltérképezik, hogy kik azok a kulcsfontosságú személyek, akik az információ birtokában lehetnek. A közösségi oldalak és az internet segítségével feltérképezik szakmai és baráti hálózatukat, majd fejvadászoktól érkező megkeresésnek álcázva küldenek kártevőkkel fertőzött állásajánlatokat a megcélzott személyeknek.
Skype-os interjúra is sor kerülhet
A fejvadász álca relatív új taktika, a fertőzött csatolmányok küldése viszont már régóta közismert és bevett fegyvere a támadóknak. Az érdekes az ügyben, hogy az észak-koreai kormányhoz köthető Lazarus csoport augusztusban nemcsak az amerikai, hanem az izraeli katonaságot is megkörnyékezte hasonló módszerekkel.
A fejvadász álcát a hackerek hamis LinkedIn profilokkal igyekeznek fenntartani. A szakmai közösségi oldalon menedzsereknek, ügyvezetőknek vagy a HR osztály vezetőinek adták ki magukat, és így vették fel a kapcsolatot az amerikai és az izraeli katonaságnak szállító vállalatok képviselőivel.
A támadók azonban nemcsak e-mailen vették fel a kapcsolatot a célpontokkal, hanem videokapcsolat segítségével (többnyire Skype) személyes interjút is végeztek a bizalom elnyeréséhez, melyek segítségéhez valószínűleg színészek segítségét kérték.
Információra és pénzre utazik
Ha a támadóknak sikerül a BLINDINGCAN nevű trójait telepíteni a kiszemelt személy számítógépére, akkor az a következőkre képes:
- Információt gyűjt a telepített merevlemezekről, annak típusáról és a szabadon lévő tárhelyről
- Új folyamatokat indíthat és fejezhet be
- Fájlokat kereshet, azokból információkat olvas ki, beléjük ír vagy futtat fájlokat
- A fájlok vagy könyvtárak időbélyegét kiolvassa és módosítja
- Megváltoztatja az aktuális könyvtárat az adott folyamat vagy fájl számára
- Törli a kártevőt és a kártevővel kapcsolatba hozható fájlokat a fertőzött rendszerből
Az is érdekes a támadásban, hogy a korábban tapasztaltaktól eltérően a hackerek ezúttal nemcsak információt, hanem pénzt is próbáltak szerezni a célpontoktól. Észak-Koreában a hacker csoportok szakosodnak: egyesek információszerzésre mások pénzszerzésre, de nem szokták keverni a kettőt.
Kiemelt kép: Anna Shvets fotója a Pexels oldaláról