Абсолютно каждый не чистый на руку хакер желает заполучить доступ к вашим персональным данным и не только. Однако в последнее время вести свою деятельность им стало ощутимо сложнее, ведь тотальный уровень безопасности увеличился довольно-таки сильно. Именно поэтому такому роду злоумышленников приходится придумывать новые обходные пути, дабы их план сработал. И казалось-бы, новая идея некой группировки хакеров, программистов и не только являлась в крайней степени успешной, ведь о ней никто до этого момента не знал, и все её планы удавалось реализовать. Однако раз уж мы сейчас об этом говорим, то это естественно означает, что данная группировка была раскрыта.
Всё дело в том, что группа по анализу угроз в Google сумела определить личности и текущее местоположение, а также актуальный на данный момент план, согласно которому злоумышленники и ведут свою деятельность. Примечательно то, что данная группировка была в большей мере нацелена не на широкий круг людей, вне зависимости от их должности и статуса, а именно на исследователей безопасности, которые в свою очередь работают над поиском и устранением самых различных уязвимостей. Сама же группировка, кстати, выдавала себя как раз таки именно за такую же компанию на протяжении последних нескольких месяцев.
WARNING! I can confirm this is true and I got hit by @z0x55g who sent me a Windows kernel PoC trigger. The vulnerability was real and complex to trigger. Fortunately I only ran it in VM.. in the end the VMDK I was using was actually corrupted and non-bootable, so it self-imploded https://t.co/dvdCWsZyne
— Richard Johnson (@richinseattle) January 26, 2021
В любом случае, упомянутое выше подразделение Google утверждает, что за многочисленными за последнее время атаками стоит «поддерживаемая правительством организация, базирующаяся в Северной Корее», особенность которой заключается в том, что её участники довольно-таки часто использовали социальную инженерию для взаимодействия со своими будущими жертвами. В сообщении корпорации Google, подробно описывающем действие данной группировки, Адам Вайдеманн из Technical Architecture Group объяснил, что злоумышленники идут на многое лишь ради того, чтобы завоевать доверие своих жертв. Делается же это при помощи того, что они, чаще всего, выдают себя за самых различных исследователей.
New blog post from TAG with details of a North Korean campaign targeting security researchers working on vulnerability research and development.https://t.co/Ec2TaMMXeQ
Stay safe out there everyone!
— Shane Huntley (@ShaneHuntley) January 26, 2021
Чаще всего именно за исследователей безопасности. И в целом, их схема было достаточно продумана. Злоумышленники создавали собственные исследовательские блоги, наполняли их анализами всевозможных уязвимостей, которые уже были до этого публично раскрыты, вели «официальные» учётные записи в Twitter, публиковали там видеозаписи «совершённых ими подвигов». А делалось всё это лишь с одной целью — охватить и расположить к себе как можно большее количество людей. И как только жертва решала довериться данным «профессионалам», они сразу же компрометировали системы своих жертв, получая к ним полный и неограниченный доступ.