Хакеры из Северной Кореи взламывали своих коллег по всему миру и принуждали работать на себя — Google

28 января 2021, 20:03
Цей матеріал також доступний українською

Северокорейские хакеры создали поддельный сайт о хакерстве, при помощи которого они взламывали своих коллег по всему миру и таким образом вербовали их.

Многомесячную кампанию северокорейцев разоблачил Google. Там считают, что таким образом они хотели заставить хакеров работать на них.

Хакеры из Северной Кореи использовали фейковые аккаунты в Twitter, где публиковали различные сообщения, видео, а также ссылки на якобы блог, в котором анализировали различные уязвимости и публиковали новые уязвимости нулевого дня.

Видео дня

Уязвимость нулевого дня — это уязвимость, на которую у разработчиков не было времени на исправление — 0 дней. То есть потенциально, ею можно пользоваться «прямо сейчас».

Однако блог на самом деле оказывался подделкой, и никаких уязвимостей там не было. Таким образом хакеры распространяли вирус, взламывавший тех, кто заходит на сайт и качает оттуда файл с вирусом.

По данным Google, в некоторых случаях хакерам удавалось взламывать цели, просто заставляя их посещать «блог» с вредоносным ПО. Жертвам не помогало даже то, что они использовали последние версии Windows 10 и Chrome с актуальными патчами безопасности. Сейчас программисты Google пытаются разобраться, как именно происходил взлом в таком случае и предлагают вознаграждение любому, кто найдет уязвимость.

Аккаунты, которыми пользовались северокорейские хакеры (Фото: Google)
Аккаунты, которыми пользовались северокорейские хакеры / Фото: Google

Северокорейцы работали как на привлечение широких масс, так и на то, чтобы «словить» определенных хакеров. Для этого они чаще всего пользовались LinkedIn, а также Telegram, Discord, Keybase и электронной почтой.

Поначалу они втирались к хакерам в доверие, переписывались, после чего спрашивали, хотят ли они совместно работать над исследованием уязвимостей, и отправляли зараженный проект Visual Studio, который и должен был ломать компьютер жертвы.

Команда Visual Studio Build Events, выполняемая при запуске предоставленных файлов (Фото: Google)
Команда Visual Studio Build Events, выполняемая при запуске предоставленных файлов / Фото: Google

После этого несколько исследователей показали, что действительно оказывались целями северокорейцев, а портал Virus Total даже создал график со всеми сайтами, которыми пользовались хакеры.

Пользователь по имени Ричард Джонсон рассказал, что получил вредоносное ПО, но запустил его на виртуальной машине, чтобы протестировать. В результате, образ диска, на котором Джонсон запустил файл, был поврежден и саморазрушился.

Основатель компании по кибербезопасности Hyperion Gray Алехандро Касерес рассказал, что его все-таки взломали. Хакер действовал по описанной выше схеме — написал ему в Твиттере и попросил помочь с уязвимостью нулевого дня, после чего прислал зараженный файл. Теперь Касерес предлагает $20 тыс. любому, кто предоставит ему информацию о личности злоумышленника.

poster
Подписаться на ежедневную email-рассылку
материалов раздела Техно
Рассылка о том как технологии изменяют мир
Каждый понедельник

Присоединяйтесь к нам в соцсетях Facebook, Telegram и Instagram.

Показать ещё новости
Радіо НВ
X