- Компьютеры с полностью пропатченной Windows 10, использующие браузер Chrome, заражаются при посещении поддельного веб-сайта исследователей безопасности.
- Хакерам потребуются недели или месяцы, чтобы завоевать доверие исследователей безопасности, прежде чем заставить их запустить вредоносный код.
Эксперты по угрозам в Google говорят, что они выявили продолжающуюся хакерскую кампанию, нацеленную на экспертов по компьютерной безопасности. В частности, на тех, кто исследует уязвимости нулевого дня.
Группа анализа угроз Google (TAG) заявляет, что злоумышленники поддерживаются правительством Северной Кореи и используют сложные постоянные угрозы (APT) в попытке скомпрометировать компьютеры своих важных целей.
Как описывает Google, злоумышленники связываются со своими предполагаемыми жертвами по электронной почте или через такие веб-сайты, как Twitter и LinkedIn, выдавая себя за других исследователей.
Со временем и в разговорах, которые могут длиться неделями или месяцами, злоумышленники пытаются доказать свою надежность и надежность, публикуя видеоролики об обнаруженных ими эксплойтах или размещая ссылки на свои исследования в своих блогах или Github.
«Доказательства» их открытий были дополнительно усилены тем, что другие учетные записи в социальных сетях, находящиеся под контролем хакеров, повторно делились ссылками в попытке повысить их «подлинность».
Затем злоумышленники изобретательно спрашивают исследователя, на которого они нацелены, хотят ли они совместно исследовать уязвимости, и делятся проектом Visual Studio с исходным кодом эксплойта, над которым они работают.
Неосторожный исследователь может не заметить, что проект также содержит вредоносный файл .DLL, который может установить бэкдор на его компьютер.
Кроме того, в некоторых атаках исследователи были скомпрометированы после посещения поддельного блога исследователя. Как объясняет Google, посещение веб-сайта, на котором размещен блог, даже в полностью обновленной версии браузера Chrome, работающей в полностью исправленной версии Windows 10, может привести к заражению компьютеров вредоносным ПО.
Google признает, что на данный момент неясно, как происходит заражение, но просит любого, кто сможет идентифицировать такую ранее неизвестную уязвимость в Chrome, связаться с ними, поскольку они будут иметь право на вознаграждение в рамках его программы вознаграждения за ошибки.
По данным The Register, северокорейские хакеры атаковали одного исследователя – искателя уязвимостей нулевого дня Алехандро Касереса, соучредителя американской исследовательской компании Hyperion Gray.
Касерес сказал, что с ним связался фиктивный исследователь, назвавший себя Джеймсом Вилли, и предложил вознаграждение любому, кто сможет сообщить настоящую личность и адрес хакера.
Группа анализа угроз Google заявляет, что делится подробностями хакерской кампании в надежде, что она послужит предупреждением всем исследователям безопасности, чтобы они были начеку:
«Мы надеемся, что этот пост напомнит тем, кто занимается исследованием безопасности, что они являются мишенью для поддерживаемых правительством злоумышленников и должны сохранять бдительность при взаимодействии с людьми, с которыми они ранее не взаимодействовали».
Профили Twitter и LinkedIn, используемые злоумышленниками, были заблокированы. Хотя, конечно, ничто не может помешать хакерам создавать другие учетные записи в попытке заманить в ловушку больше ничего не подозревающих исследователей безопасности.