Google: северокорейские хакеры взламывают ИБ-исследователей через блог об уязвимостях

На своих жертв корейцы выходят через поддельные аккаунты в Twitter, LinkedIn, Telegram, Discord, Keybase и электронную почту. Чтобы лучше втереться в доверие, они сделали блог про кибербезопасность, а в Twitter выкладывают ссылки на него и видео про уязвимости — Google говорит, что минимум одна из них была выдуманной. Для «достоверности» на сайте под видом гостевых постов опубликованы статьи ничего не подозревающих реальных специалистов.

Установив контакт, хакеры предлагают жертве вместе работать над исследовательским проектом. После этого ей отправляют файл, содержащий вредоносный код.

В некоторых случаях для взлома было достаточно, чтобы исследователи посетили заражённый сайт — при этом на их устройствах были установлены актуальные версии Windows 10 и браузера Chrome. То есть хакеры используют ещё не закрытые баги в них.

По словам Google, кампания длится уже несколько месяцев, а за хакерами стоит правительство Северной Кореи. Google призвала исследователей быть бдительными при общении с неизвестными в сети и напомнила, что за отчёты об уязвимостях нулевого дня в Chrome предусмотрено материальное вознаграждение. Северокорейский блог всё ещё есть в поисковой выдаче.

Как отмечает Motherboard, несколько известных специалистов по безопасности признались, что стали мишенью злоумышленников. Основатель ИБ-компании Hyperion Gray Алехандро Касерес пишет, что хакеры связались с ним через Twitter, после чего сбросили зловред. Данные клиентов фирмы скомпрометированы не были. За информацию о взломщиках Касерес готов заплатить $80 тысяч.