Fejvadászoktól érkező megkeresésnek álcázzák leveleiket észak-koreai hackerek, akik így próbálják meg rávenni az áldozataikat – elsősorban a hadiipar, a nemzetvédelem és az energiaszektor munkatársait –, hogy kártevőt telepítsenek a gépeikre.

Az Amerikai Egyesült Államok kiberbiztonsággal foglalkozó hivatala (United States Cybersecurity and Infrastructure Security Agency, CISA) egy friss jelentésében a vállalatokat érintő új támadásformára hívja fel a figyelmet. Az interneten már felbukkant a BLINDINGCAN nevű távoli hozzáférést biztosító trójai, melynek terjesztését az Észak-Korea által támogatott Lazarus csoporthoz kötötték.

Katonai és energetikai információk a fontosak

Az eszközt információgyűjtéshez használják, a támadók kulcsfontosságú katonai és energiaipari információkat keresnek. Ehhez az olyan vállalatok munkatársait támadják célzottan, amelyek külsősként szerződéses munkát végezhetnek ezekben a szektorokban.

Első körben a támadók feltérképezik, hogy kik azok a kulcsfontosságú személyek, akik az információ birtokában lehetnek. A közösségi oldalak és az internet segítségével feltérképezik szakmai és baráti hálózatukat, majd fejvadászoktól érkező megkeresésnek álcázva küldenek kártevőkkel fertőzött állásajánlatokat a megcélzott személyeknek.

Skype-os interjúra is sor kerülhet

A fejvadász álca relatív új taktika, a fertőzött csatolmányok küldése viszont már régóta közismert és bevett fegyvere a támadóknak. Az érdekes az ügyben, hogy az észak-koreai kormányhoz köthető Lazarus csoport augusztusban nemcsak az amerikai, hanem az izraeli katonaságot is megkörnyékezte hasonló módszerekkel.

A fejvadász álcát a hackerek hamis LinkedIn profilokkal igyekeznek fenntartani. A szakmai közösségi oldalon menedzsereknek, ügyvezetőknek vagy a HR osztály vezetőinek adták ki magukat, és így vették fel a kapcsolatot az amerikai és az izraeli katonaságnak szállító vállalatok képviselőivel.

A támadók azonban nemcsak e-mailen vették fel a kapcsolatot a célpontokkal, hanem videokapcsolat segítségével (többnyire Skype) személyes interjút is végeztek a bizalom elnyeréséhez, melyek segítségéhez valószínűleg színészek segítségét kérték.

Információra és pénzre utazik

Ha a támadóknak sikerül a BLINDINGCAN nevű trójait telepíteni a kiszemelt személy számítógépére, akkor az a következőkre képes:

• Információt gyűjt a telepített merevlemezekről, annak típusáról és a szabadon lévő tárhelyről
• Új folyamatokat indíthat és fejezhet be
• Fájlokat kereshet, azokból információkat olvas ki, beléjük ír vagy futtat fájlokat
• A fájlok vagy könyvtárak időbélyegét kiolvassa és módosítja
• Megváltoztatja az aktuális könyvtárat az adott folyamat vagy fájl számára
• Törli a kártevőt és a kártevővel kapcsolatba hozható fájlokat a fertőzött rendszerből

Az is érdekes a támadásban, hogy a korábban tapasztaltaktól eltérően a hackerek ezúttal nemcsak információt, hanem pénzt is próbáltak szerezni a célpontoktól. Észak-Koreában a hacker csoportok szakosodnak: egyesek információszerzésre mások pénzszerzésre, de nem szokták keverni a kettőt.

Kiemelt kép: Anna Shvets fotója a Pexels oldaláról