Atacantes norcoreanos apuntan a investigadores de seguridad …



Google TAG advierte a la comunidad de seguridad de información sobre solicitudes no solicitadas de personas que buscan colaboración en la investigación de vulnerabilidades.

Los expertos en seguridad centrados en la investigación y el desarrollo de vulnerabilidades son el objetivo de una campaña de ingeniería social, supuestamente realizada por una entidad respaldada por el gobierno de Corea del Norte, informa Google.

El Grupo de Análisis de Amenazas de Google (TAG), que rastrea las operaciones avanzadas de amenazas persistentes, ha estado observando este ataque durante los últimos meses. En una reseña de los hallazgos, el investigador de seguridad de TAG, Adam Weidemann, dice que los atacantes aprovecharon «una serie de medios» para atacar a miembros de la comunidad de investigación de seguridad a través de múltiples plataformas de redes sociales.

Se contactó con los investigadores a través de Twitter, LinkedIn, Telegram, Discord, Keybase y correo electrónico. Los atacantes crearon varios perfiles de Twitter, que usaron para interactuar con investigadores, compartir video clips de supuestos exploits, retuitear otras cuentas controladas por atacantes y vincular a su site.

Este «weblog de investigación» se creó para establecer credibilidad y conectarse con los objetivos, Weidemann dice, y los atacantes lo utilizaron para compartir reseñas y análisis de vulnerabilidades que ya se habían divulgado públicamente. Estos incluyeron «publicaciones de invitados» de investigadores de seguridad legítimos y desconocidos, probablemente compartidas en un intento de generar confianza dentro de la comunidad de investigación de seguridad.

Después de establecer las comunicaciones iniciales, los atacantes preguntarían a un investigador objetivo si querían trabajar juntos en la investigación de vulnerabilidades. Los atacantes luego proporcionarían al investigador un Proyecto de Visual Studio, que contendría el código fuente para explotar la vulnerabilidad y una DLL adicional que se ejecutaría a través de Visible Studio Create Activities. La DLL es un malware personalizado que comenzaría a comunicarse con los dominios de comando y management (C2) de los atacantes.

Algunos atacantes no compartieron archivos infectados con objetivos en cambio, les pidieron que tuvieran acceso a un artículo alojado en un enlace malicioso. Poco después de que hicieran clic, se instalaría un servicio malicioso en el sistema de destino y una puerta trasera en la memoria enviaría una señal al C2 de los atacantes. TAG señala que en el momento en que se accedió a este enlace, los sistemas de las víctimas estaban ejecutando versiones parcheadas y actualizadas de Windows 10 y Chrome. No puede confirmar el método de compromiso.

Integración con investigadores de seguridad
Si bien no hay nada especialmente novedoso en las técnicas de ingeniería social de los atacantes, lo que se destaca es su prolongada inversión en establecer credibilidad para conectarse con sus objetivos.

«Realmente dedicaron un esfuerzo significativo a construir una personalidad en la comunidad de ciberseguridad occidental», dice Lesley Carhart, principal respondedor de incidentes industriales de Dragos, quien ha estado observando cómo se desarrolla esto.

Tratar de congraciarse con la comunidad «es una táctica eficaz para los adversarios», añade. Los atacantes se acercaron a muchos miembros de la comunidad de investigación involucrados en la investigación de vulnerabilidades y eligieron identificadores de Twitter que se parecen a algo que un investigador podría usar.

También publicaron varios videos de exploits publicados. Si bien TAG no pudo verificar la autenticidad o el estado de funcionamiento de todos los exploits de los que los atacantes compartieron videos, el equipo informa que al menos un movie falsifica el éxito de un exploit que los atacantes afirman que es funcional. A pesar de que el exploit era falso y varios comentarios identificaron el video clip como falso, los atacantes usaron algunas de sus cuentas de Twitter para retuitear su publicación first y afirmar que su online video period auténtico.

Una llamada de atención para la comunidad Infosec
Carhart califica el incidente como «un shock para el sistema» para los investigadores de seguridad. Muchos expertos de la comunidad, en particular los que se centran en el desarrollo de exploits, trabajan con una variedad de personas (profesionales de seguridad de TI, medios de comunicación y hackers de sombrero blanco, sombrero gris y sombrero negro) para estar al tanto de lo que está sucediendo. sobre el mercado negro, cómo funciona el malware y qué sucede con él.

«Muchos investigadores de seguridad están realmente familiarizados y se sienten cómodos teniendo contactos profesionales y relaciones con personas de todas las franjas de legalidad», dice. «No están acostumbrados a ser atacados explícitamente a través de ellos».

Si bien los investigadores a menudo trabajan con estudiantes, personas fuera de los Estados Unidos y aquellos que son menos respetuosos de la ley en su actividad en línea, Carhart señala que algunos expertos que fueron atacados tenían sus sospechas al comunicarse con los atacantes. Su inglés period pobre, dijeron algunos, e insistían en solicitar datos que normalmente no se comparten fuera de la empresa.

«Existía esa búsqueda agresiva de cosas sensibles, en un inglés pobre, sin una relación previa», agrega, y la combinación fue una señal de alerta para algunos investigadores. Aquellos que descargaron el archivo o hicieron clic en el enlace lo hicieron en una máquina digital.

Todavía no tenemos datos suficientes para saber qué buscaban los atacantes, dice Carhart, aunque hay muchas razones por las que querrían acceder a la máquina de un investigador. Es posible que busquen vulnerabilidades que no se hayan investigado o divulgado adecuadamente, o podrían querer acceder a los datos de evaluación o vulnerabilidad de las organizaciones. Pueden estar apuntando a un investigador como un medio para acceder a otra entidad, una táctica que se ve a menudo en las campañas de ingeniería social, señala.

«A veces, el objetivo inicial es sólo un trampolín para llegar a otra computadora, otra persona en una pink», agrega.

Google TAG atribuye el ataque a una entidad gubernamental con sede en Corea del Norte algunos investigadores de seguridad Han hecho la misma conexión. Si ese es el caso, esta actividad marcaría un cambio en la estrategia de Corea del Norte, que es principalmente conocida por los delitos cibernéticos motivados financieramente.

Los profesionales de la seguridad a menudo establecen relaciones con personas que solo conocen en línea, y este incidente es un recordatorio de que debe tener cuidado al trabajar con alguien que no conoce. Si va a abrir archivos y enlaces de extraños, deben tratarse como no confiables y examinarse o abrirse en una máquina digital.

Kelly Sheridan es la editora de personal de Dim Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first