A publikáció ideje: 2020. Sze. 7.

Kamu állásajánlatok: fejvadásznak álcázzák magukat a hackerek

hackerFejvadászoktól érkező megkeresésnek álcázzák leveleiket észak-koreai hackerek, akik így próbálják meg rávenni az áldozataikat – elsősorban a hadiipar, a nemzetvédelem és az energiaszektor munkatársait –, hogy kártevőt telepítsenek a gépeikre.

Az Amerikai Egyesült Államok kiberbiztonsággal foglalkozó hivatala (United States Cybersecurity and Infrastructure Security Agency, CISA) egy friss jelentésében a vállalatokat érintő új támadásformára hívja fel a figyelmet. Az interneten már felbukkant a BLINDINGCAN nevű távoli hozzáférést biztosító trójai, amelynek terjesztését az Észak-Korea által támogatott Lazarus csoporthoz kötötték.

Katonai és energetikai információk a fontosak
Az eszközt információgyűjtéshez használják, a támadók kulcsfontosságú katonai és energiaipari információkat keresnek. Ehhez az olyan vállalatok munkatársait támadják célzottan, amelyek külsősként szerződéses munkát végezhetnek ezekben a szektorokban.

Első körben a támadók feltérképezik, hogy kik azok a kulcsfontosságú személyek, akik az információ birtokában lehetnek. A közösségi oldalak és az internet segítségével feltérképezik szakmai és baráti hálózatukat, majd fejvadászoktól érkező megkeresésnek álcázva küldenek kártevőkkel fertőzött állásajánlatokat a megcélzott személyeknek.

Skype-os interjúra is sor kerülhet
A fejvadász álca relatív új taktika, a fertőzött csatolmányok küldése viszont már régóta közismert és bevett fegyvere a támadóknak. Az érdekes az ügyben, hogy az észak-koreai kormányhoz köthető Lazarus csoport augusztusban nemcsak az amerikai, hanem az izraeli katonaságot is megkörnyékezte hasonló módszerekkel.

A fejvadász álcát a hackerek hamis LinkedIn profilokkal igyekeznek fenntartani. A szakmai közösségi oldalon menedzsereknek, ügyvezetőknek vagy a HR osztály vezetőinek adták ki magukat, és így vették fel a kapcsolatot az amerikai és az izraeli katonaságnak szállító vállalatok képviselőivel. A támadók azonban nemcsak e-mailen vették fel a kapcsolatot a célpontokkal, hanem videokapcsolat segítségével (többnyire Skype) személyes interjút is végeztek a bizalom elnyeréséhez, melyek segítségéhez valószínűleg színészek segítségét kérték.

Információra és pénzre utazik
Ha a támadóknak sikerül a BLINDINGCAN nevű trójait telepíteni a kiszemelt személy számítógépére, akkor az a következőkre képes:

  • Információt gyűjt a telepített merevlemezekről, annak típusáról és a szabadon lévő tárhelyről
  • Új folyamatokat indíthat és fejezhet be
  • Fájlokat kereshet, azokból információkat olvas ki, beléjük ír vagy futtat fájlokat
  • A fájlok vagy könyvtárak időbélyegét kiolvassa és módosítja
  • Megváltoztatja az aktuális könyvtárat az adott folyamat vagy fájl számára
  • Törli a kártevőt és a kártevővel kapcsolatba hozható fájlokat a fertőzött rendszerből

Az is érdekes a támadásban, hogy a korábban tapasztaltaktól eltérően a hackerek ezúttal nemcsak információt, hanem pénzt is próbáltak szerezni a célpontoktól. Észak-Koreában a hacker csoportok szakosodnak: egyesek információszerzésre mások pénzszerzésre, de nem szokták keverni a kettőt.

Itt elmondhatod a véleményed!

Jó ha tudod, ezeket a html tag-eket használhatod: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Biztonságpiac 2020 Konferencia és Kiállítás — 2020 szeptember 22.