Af Eskil Sørensen, 01/02/21
I sidste uge oplyste Google, at en nordkoreansk regeringsstøttet hackinggruppe har brugt sociale netværk til at kompromittere private sikkerhedsresearchere m.fl. Det skriver Bleeping Computer.
Som en del af angrebene har trusselsaktørerne kontaktet researcherne for at etablere et samarbejde om undersøgelse af sårbarheder. Det var i forbindelse med dette, at trusselsaktørerne forsøgte at inficere researcherne med malware med bagdøre.
Microsoft har sidenhen i en rapport oplyst, at trusselsaktøren er identificeret som ’ZINC’, der angiveligt går efter pentestere, sikkerhedsresearchere og medarbejdere hos teknologi- og sikkerhedsvirksomheder. Det menes, at hackinggruppen er identisk med nordkoreanske 'Lazarus', der har opereret siden 2009.
Twitterprofiler brugt til at skabe et godt ry
Ifølge Microsofts Threat Intelligence Center (MSTIC) begyndte ZINC sin kampagne i midten af 2020 ved at etablere Twitter-profiler, som angiveligt retweetede sikkerhedsindhold og skrev om sårbarhedsundersøgelser.
Trusselsaktørerne har derefter styrket tweetenes og profilernes troværdighed ved hjælp af andre Twitter-konti, som var kontrolleret af gruppen. Dette gjorde det muligt for gruppen at opbygge et ry i inden for miljøet og få følgere, der ifølge Bleeping Computer omfattede ’fremtrædende’ sikkerhedsresearchere.
Kontakt etableret
Efter dette ville ZINC-aktørerne kontakte navngivne researchere mhp. at etablere samarbejder om sårbarheder. Hvis der blev opnået en kontakt, sendte ZINC et Visual Studio-projekt med ondsindet DLL-fil. Altså et bibliotek med kode, som ville kunne føre til installation af en bagdør, der kunne gøre det muligt for angriberne at hente oplysninger og udføre kommandoer på offerets computer. Altså få indblik i, hvad researcherne arbejdede med.
Ud over det ondsindede Visual Studio-projekt har Microsoft også set ZINC angribe sikkerhedsprofessionelle ved hjælp af andre metoder. Nogle af disse blev inficeret ved blot at lokke dem til at besøge trusselaktørernes websted. Tilsyneladende er der brugt ukendte 0-dagssårbarheder på ellers fuldt opdateret Chrome-browser.
Alt i alt er metoderne til installation af bagdøre mhp. inficering af ofres maskiner ikke nye. Det er heller ikke nyt, at statsstøttede hackergrupperinger iværksætter målrettede angreb. Det spektakulære er, at det angiveligt har været tale om et setup, der har været planlagt og gennemført over flere måneder. Det kræver en del ressourcer at opbygge et godt ry via Twitter, skabe en kontakt og tillid og udnytte dette til at lokke sikkerhedsprofessionelle til at begå en fejl.
Links:
https://www.itnews.com.au/news/lazarus-group-behind-security-researcher-attacks-560380