Хакери з Північної Кореї зламували своїх колег по всьому світу і примушували працювати на себе — Google

28 січня 2021, 20:03
Вы также можете прочесть этот материал на русском языке

Північнокорейські хакери створили підроблений сайт про хакерство, за допомогою якого вони зламували своїх колег по всьому світу і таким чином вербували їх.

Багатомісячну кампанію північнокорейців викрив Google. Там вважають, що таким чином вони хотіли змусити хакерів працювати на них.

Хакери з Північної Кореї використовували фейкові акаунти в Twitter, де публікували різні повідомлення, відео, а також посилання на нібито блог, в якому аналізували різні уразливості і публікували нові уразливості нульового дня.

Відео дня

Zero-day — це уразливість, на яку у розробників не було часу на виправлення 0 днів. Тобто потенційно, нею можна користуватися «прсто зараз».

Однак блог насправді опинявся підробкою, і жодних уразливостей там не було. Таким чином хакери поширювали вірус, що зламує тих, хто заходить на сайт і качає звідти файл з вірусом.

За даними Google, у деяких випадках хакерам вдавалося зламувати цілі, просто змушуючи їх відвідувати «блог» зі шкідливим ПЗ. Жертвам не допомагало навіть те, що вони використовували останні версії Windows 10 і Chrome з актуальними патчами безпеки. Зараз програмісти Google намагаються розібратися, як саме відбувався злам у такому випадку і пропонують винагороду кожному, хто знайде уразливість.

Акаунти, якими користувалися північнокорейські хакери (Фото: Google)
Акаунти, якими користувалися північнокорейські хакери / Фото: Google

Північнокорейці працювали як на залучення широких мас, так і на те, щоб «зловити» певних хакерів. Для цього вони найчастіше користувалися LinkedIn, а також Telegram, Discord, Keybase і електронною поштою.

Спочатку вони втиралися до хакерів у довіру, листувалися, після чого запитували, чи хочуть вони спільно працювати над дослідженням уразливостей, і відправляли заражений проєкт Visual Studio, який і повинен був ламати комп’ютер жертви.

Команда Visual Studio Build Events, яка виконується під час запуску наданих файлів (Фото: Google)
Команда Visual Studio Build Events, яка виконується під час запуску наданих файлів / Фото: Google

Після цього кілька дослідників показали, що дійсно опинялися цілями північнокорейців, а портал Virus Total навіть створив графік з усіма сайтами, якими користувалися хакери.

Користувач на ім'я Річард Джонсон розповів, що отримав шкідливе ПЗ, але запустив його на віртуальній машині, щоб протестувати. У підсумку, образ диска, на якому Джонсон запустив файл, був пошкоджений і самозруйнувався.

Засновник компанії з кібербезпеки Hyperion Gray Алехандро Касерес розповів, що його все-таки зламали. Хакер діяв за описаною вище схемою — написав йому в Твіттері та попросив допомогти з уразливістю нульового дня, після чого надіслав заражений файл. Тепер Касерес пропонує $20 тис. кожному, хто надасть йому інформацію про особу зловмисника.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X