Hackere har mange forskjellige ofre, men det er ikke så ofte vi hører om angrep rettet spesifikt mot dem som jobber med å forhindre nettopp hacking. En ny, storstilt kampanje mot denne målgruppen er nå i gang, melder Google på bloggen sin.
Selskapets Threat Analysis Group har de siste månedene identifisert flere tilfeller hvor sikkerhetsforskere angripes av ondsinnet programvare, og det er måten angriperne går frem på som er verdt å merke seg.
Opptrer som legitime sikkerhetsforskere
Hackerne begynner med å etablere tillit ved å opprette profiler på sosiale medier, først og fremst Twitter og LinkedIn. Disse utgir seg for å være profiler tilhørende legitime sikkerhetsforskere med teknisk kompetanse.
_logo.svg.png){kind=logo}
Personene bak disse profilene tar kontakt med reelle sikkerhetsforskere med forespørsler om samarbeid, og benytter seg av kontakten og tilliten til å levere skadevare.
Angripernes Twitter-profiler inneholder lenker til blant annet forskningsblogger og YouTube-videoer med informasjon om sårbarheter og «exploits» de har utviklet for å utnytte sårbarhetene – arbeid som altså inngår i normal sikkerhetsforskning.
Google har ikke kunnet verifisere hvorvidt alle «exploitene» til hackerne faktisk fungerer eller har noe for seg, men i alle fall i ett tilfelle skal den påståtte funksjonaliteten ha vist seg å ikke stemme.
YouTube-videoene og forskningsbloggene inneholder også kommentarer, hvorav noen trolig er falske, mens andre kommer fra reelle sikkerhetsforskere.
Ifølge Google leveres skadevaren, etter hackerne har oppnådd kontakt med sikkerhetsforskerne, først og fremst gjennom Microsofts utviklerverktøy Visual Studios. Angriperne legger inn kildekode relatert til utnyttelse av sårbarheter, men i tillegg legges det inn ondsinnet kode i form av en DLL-fil (Dynamic-Link Library).
Nord-Korea skal stå bak
Sikkerhetsforskere skal også ha blitt infisert gjennom å besøke forskningsbloggene som hackerne lenker til på sosiale medier.
Skadevaren begynner umiddelbart å kommunisere med C2-servere (command and control), men Google har ikke redegjort i detalj for akkurat hva skadevaren brukes til. Som nettstedet ZDNet peker på kan imidlertid tyveri av «exploits» til bruk i egne angrep mot andre aktører være en logisk motivasjon for å rette seg mot sikkerhetsforskere.
Det som gjør kampanjen noe mer alarmerende er at hackerne ifølge Google har tilknytning til statlige aktører, nærmere bestemt det nordkoreanske regimet. Nord-Korea har som kjent vært i fokus i en rekke tidligere hackerkampanjer, men akkurat hvilken gruppe det dreier seg om denne gangen er uvisst.
Google har identifisert en rekke kontoer på Twitter og LinkedIn som er tilknyttet kampanjen, i tillegg til C2-domener som kontrolleres av hackerne. Listen over disse kan du finne på Google-bloggen.
Som en generelle huskeregel anbefaler Google å være forsiktig når man kommuniserer med andre i forskningsmiljøet, og eventuelt bruke separate fysiske eller virtuelle maskiner for de ulike typer aktivitetene.
– Kjente hackergrupper angrep selskaper som jobber med covid-19-vaksiner
