0
0
Os agentes de ameaças apoiados pelo Estado norte-coreano têm como alvo investigadores de segurança – a segunda campanha deste tipo nos últimos anos.
O Google descobriu pela primeira vez que os invasores da RPDC não perseguiam indivíduos ou organizações inocentes e vulneráveis em janeiro de 2021, mas sim os próprios profissionais de segurança cibernética . Agora os invasores estão de volta, com uma nova vulnerabilidade de dia zero, uma ferramenta de software falsa e um phishing extraordinariamente extenso para acompanhá-la, de acordo com uma nova postagem no blog do Grupo de Análise de Ameaças do Google.
“Infelizmente, o ataque às pessoas envolvidas na investigação de cibersegurança não é raro. Na verdade, tornou-se mais frequente e sofisticado ao longo dos anos”, afirma Callie Guenther, gestora sénior de investigação de ameaças cibernéticas da Critical Start. “Essas operações são multifacetadas, visando não apenas roubar informações, mas também obter insights sobre os mecanismos de defesa, refinar suas táticas e evitar melhor a detecção futura”.
Engenharia Social para Engenheiros de Segurança
Pesquisadores do Google perceberam pela primeira vez essa estranha roupa de hacker há mais de dois anos, quando ela começou a encher as caixas de entrada de profissionais de segurança nas redes sociais. As contas em questão receberam nomes americanos que soavam amplamente genéricos, como “James Willy” e “Billy Brown”, e os engenheiros sociais até criaram conteúdo real de pesquisa de segurança cibernética para dar legitimidade às suas falsas personas.
Esse nível de esforço fica evidente mais uma vez em sua última campanha. Por exemplo, usando uma conta já desativada no X (antigo Twitter) , os invasores conduziram uma conversa de um mês com um de seus alvos, discutindo áreas de interesse comum e a possibilidade de uma colaboração futura.
As conversas normalmente eram transferidas para um aplicativo de mensagens criptografadas como Signal ou WhatsApp. Uma vez estabelecida confiança suficiente, o agente da ameaça finalmente encaminharia um arquivo contendo uma vulnerabilidade de dia zero em um pacote de software popular. (O Google está retendo mais detalhes sobre qualquer um deles, até que o fornecedor tenha tempo de corrigir.)
Se a vítima caísse na isca e executasse o arquivo, o shellcode baixado primeiro verificaria se ele está sendo executado em uma máquina virtual — nesse caso, seria ineficaz — antes de enviar informações sobre o dispositivo comprometido, incluindo uma captura de tela, ao invasor. infraestrutura controlada de comando e controle (C2).
Policiais e ladrões
Além desse caminho mais complicado, os invasores parecem ter inventado mais um método negligente para enredar o pesquisador comum que passa.
A partir da conta dbgsymbol do Github , os invasores estendem sua personalidade de pesquisador, postando provas de conceito (PoCs) e “ferramentas” de segurança. O mais popular entre eles – “getsymbol”, publicado em setembro passado e atualizado várias vezes desde então – se comercializa como uma “ferramenta simples para baixar símbolos de depuração dos servidores de símbolos Microsoft, Google, Mozilla e Citrix para engenheiros reversos compatíveis com Windows 8.1, 10 e 11.”
getsymbol realmente faz o que diz que faz. No entanto, também permite que os desenvolvedores executem código arbitrário na máquina de qualquer pesquisador que o baixou. Ele foi bifurcado 23 vezes até o momento desta redação.
Como protetores da segurança digital em todo o mundo, enfatiza Guenther, os profissionais de segurança precisam ter certeza extra de que não sucumbirão a esse tipo de truque.
“A invasão de pesquisadores de segurança não se trata apenas de uma única violação bem-sucedida”, diz ela, nem é apenas um jogo para esses adversários. “É um movimento estratégico. Os pesquisadores de segurança estão na vanguarda da descoberta de vulnerabilidades e do desenvolvimento de técnicas de mitigação. Ao se infiltrarem em seus sistemas, atores mal-intencionados podem obter acesso a vulnerabilidades ainda a serem divulgadas, ferramentas proprietárias e bancos de dados valiosos de inteligência de ameaças. Além disso, estes investigadores podem estar envolvidos em projetos de importância nacional, tornando-os alvos atrativos para espionagem”.
Em um e-mail para Dark Reading, o Google TAG ofereceu alguns conselhos para alvos em potencial: “Seja extremamente cauteloso com o que você executa e abre de terceiros desconhecidos. Este grupo mostrou que está disposto a investir tempo para construir relacionamento antes de tentar qualquer ataque malicioso ações.”
FONTE: DARK READING