Google publica un informe alarmante sobre piratas informáticos norcoreanos que se hacen pasar por analistas de seguridad


Google dijo que los atacantes estaban apuntando a los investigadores de seguridad utilizando perfiles falsos de LinkedIn y Twitter y pidiendo colaborar.

istock-1166333977.jpg

Imagen: iStock / iBrave

Google dio a conocer un nuevo informe de su Grupo de Análisis de Amenazas el lunes destacando el trabajo de un grupo de ciberatacantes asociados con el gobierno de Corea del Norte que buscaban hacerse pasar por investigadores de ciberseguridad en un esfuerzo por apuntar a aquellos que «trabajan en investigación y desarrollo de vulnerabilidades en diferentes empresas y organizaciones». Adam Weidemann, miembro del Risk Evaluation Team, escribió que los atacantes utilizaron una variedad de blogs falsos, cuentas de Twitter y perfiles de LinkedIn para parecer legítimos y comunicarse con los investigadores y analistas a los que esperaban perseguir.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

ZDNet señaló que el malware asociado con el ataque estaba vinculado a una notoria organización respaldada por el gobierno de Corea del Norte llamada Lazarus Group.

«Se ha observado que los actores se dirigen a investigadores de seguridad específicos mediante un método novedoso de ingeniería social. Después de establecer las comunicaciones iniciales, los actores preguntarían al investigador objetivo si querían colaborar juntos en la investigación de vulnerabilidades, y luego proporcionarían al investigador un Proyecto de Visual Studio, «, Escribió Weidemann.

«Dentro del Proyecto Visual Studio estaría el código fuente para explotar la vulnerabilidad, así como una DLL adicional que se ejecutaría a través de Visual Studio Create Activities. La DLL es un malware personalizado que comenzaría a comunicarse inmediatamente con los dominios C2 controlados por actores».

Weidemann agregó que algunos investigadores de seguridad fueron atacados después de visitar algunos de los blogs falsos creados por los responsables de la campaña.

VER: Los malos actores lanzaron una ola sin precedentes de ataques DDoS en 2020 (TechRepublic)

Algunos compartieron un movie de YouTube que afirma que alguien había explotado CVE-2021-1647, una vulnerabilidad de Windows Defender recientemente parcheada. Si bien muchos de los comentarios señalaron que period falso, las cuentas de Twitter conectadas a la campaña buscaron negar estos comentarios y trataron de convencer a otros de que period serious.

Todas las cuentas de Twitter y LinkedIn mencionadas en el informe de Google han sido eliminadas por ambos sitios world-wide-web. Pero Weidemann señaló que los atacantes también utilizaron Telegram, Discord, Keybase y el correo electrónico para contactar a sus objetivos.

El site incluye una lista de las cuentas y weblogs, y le dice a cualquier persona que se comunique con ellos que revise sus sistemas en caso de que hayan sido violados.

El informe causó cierto revuelo en la comunidad de ciberseguridad, como era de esperar. Múltiples expertos en ciberseguridad llevó a Twitter para decir que tenían sido contactado por o comunicado con las cuentas nombradas en el informe.

¡ADVERTENCIA! Puedo confirmar que esto es cierto y me golpeó @ z0x55g que me envió un disparador de PoC del kernel de Home windows. La vulnerabilidad period serious y compleja de desencadenar. Afortunadamente, solo lo ejecuté en VM … al remaining, el VMDK que estaba usando estaba realmente dañado y no arrancaba, por lo que se autoimplotó https://t.co/dvdCWsZyne

– Richard Johnson (@richinseattle) 26 de enero de 2021

Chloé Messdaghi, estratega en jefe de Issue3 Safety, dijo que fue contactada por cuatro de estos atacantes y señaló que los expertos con cualquier grado de notoriedad o vínculos con el gobierno deben tener cuidado en todo momento.

VER: Los gobernadores escuchan sobre los peligros de una respuesta de ciberseguridad mediocre, la necesidad de coordinación del FBI (TechRepublic)

«Quieren personas con conexiones con el gobierno, y trabajan para ascender en esa escala de contactos para descubrir a quién pueden llegar. No sabemos a quién se dirigen ni por qué, pero para mí ha sido algo continuo durante un año, donde las personas que conozco se pondrán en contacto y dirán &#39Oye, fui a este sitio y tu nombre está allí, pero solo para hacerte saber que creo que podría ser malicioso&#39 «, dijo Messdaghi.

«Como alguien a quien han apuntado, me alegra que Google presente esta alerta. Hay tantas personas en todo el mundo que buscan información privada, y si no sabe con quién está hablando, trabaje en la suposición que el nombre y la imagen que te ofrecen probablemente no sean válidos. Las cuentas de estos cuatro atacantes están suspendidas, pero en realidad eso no significa nada. Simplemente inventarán otro nombre y volverán «.

actor-de-amenaza-a-chloe-messdaghi.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2021/01/26/4e5b0768-755a-44bd-9469-312dcfec5e85/resize/370x /a98d935474e529e13eecb5f6be04ccc4/threat-actor-to-chloe-messdaghi.jpg

Un mensaje de uno de los atacantes a Chloé Messdaghi, estratega jefe de Level3 Security.

Imagen: Chloé Messdaghi

Señaló que muchos investigadores sienten la necesidad de retribuir a la comunidad de ciberseguridad, pero deben tener cuidado con con quién están asociados.

Katie Nickels, directora de inteligencia de Purple Canary, dijo que para cualquier persona que trabaje en este campo, siempre existe una mayor amenaza de ser atacado, no solo por adversarios a los que quizás no les guste su investigación y análisis, sino también por adversarios que tienen la intención de obtener conocimientos avanzados. de vulnerabilidades, exploits y otros métodos de ataque.

«Si bien conocemos las formas de protegernos, a veces nos olvidamos de que somos objetivos maduros y nos volvemos complacientes como cualquier otra persona. Esta campaña fue interesante porque se aprovechó del deseo de los investigadores de colaborar, incluso con personas que no conocemos, para avanzar en nuestro trabajo «, dijo Nickels.

VER: 2020 ve un gran aumento en los registros expuestos en violaciones de datos (TechRepublic)

«Una parte preocupante de este ataque es que los adversarios lograron atraer a los investigadores a sitios internet aparentemente legítimos y comprometer sus máquinas a través de descargas automáticas. Hacer clic en enlaces no verificados en Twitter y otros lugares es algo común para todos, excepto para las personas más cautelosas».

El director ejecutivo de SafeGuard Cyber, Jim Zuffoletti, dijo que los ataques como este van en aumento porque los atacantes se están moviendo hacia canales de comunicación que «son invisibles para los equipos de seguridad», y agregó que la naturaleza distribuida del trabajo desde el inicio de la pandemia COVID-19 hizo imperativo que Los equipos de seguridad implementan mejores controles para las aplicaciones sociales y de chat.

Otros dijeron que era bien sabido dentro de la comunidad de seguridad cibernética que había personas ansiosas por explotar la cultura de compartir por razones nefastas.

Pero Andrea Carcano, cofundador de Nozomi Networks, dijo que lo nuevo del ataque fue la audacia de los atacantes y su disposición a arriesgarse a sofisticados exploits de día cero para atacar a los investigadores.

Carcano explicó que algunos de los ataques fueron bastante obvios y habrían sido detectados, pero el más aterrador fue el del investigador que se infectó simplemente visitando una página net con documentación técnica.

Carcano y Paul Bischoff, investigador principal de Comparitech, sugirieron a los investigadores abrir proyectos en entornos seguros o en otros dispositivos además de su máquina real. Bischoff también dijo que tenga cuidado con las cuentas de Twitter con muchos números y que use una extensión de bloqueo de secuencias de comandos «para evitar descargas no autorizadas que puedan ocurrir como resultado de visitar una página maliciosa».

VER: Cómo las empresas de gestión de activos son vulnerables al ransomware y los ataques de phishing (TechRepublic)

«Usted sabe que lo logró cuando los ciberdelincuentes intentan obtener acceso a sus cuentas de redes sociales o investigaciones», bromeó James McQuiggan, defensor de la conciencia de seguridad en KnowBe4.

«La gente es sociable y en su mayor parte le gusta conocer a otras personas. Con las redes sociales, es más fácil con tweets, conexiones y chats. Sin embargo, nos arriesgamos cuando aceptamos esa conexión de LinkedIn o que siguen en Twitter que la persona en el el closing de la solicitud es quiénes dicen ser «.

McQuiggan dijo que period clave asegurarse de revisar el perfil de alguien antes de aceptar cualquier amigo o seguir solicitudes y desconfiar de cualquiera que le envíe de inmediato enlaces a sitios web desconocidos.

Algunos expertos en ciberseguridad, como el vicepresidente de seguridad de Vdoo, Shachar Menashe, dijeron que toman precauciones adicionales al utilizar servicios de correo electrónico cifrados y otras protecciones de terminales.

«Me molesta más que otros ataques porque si tienen éxito, estos ataques podrían usarse para atacar a otros, lo cual es un abuso de nuestro arduo trabajo tratando de asegurar estos mismos sistemas», dijo Menashe.

Saryu Nayyar, director ejecutivo de Gurucul, dijo que lo más probable es que Google «solo arañe la superficie de estas campañas» y predijo que se están utilizando muchas más cuentas similares para actividades similares.

«Es un recordatorio de que los profesionales de la seguridad y los investigadores deben estar en guardia», dijo Nayyar. «Su conocimiento y habilidad los convierte en objetivos difíciles, lo que obliga a los actores malintencionados a poner mucho esfuerzo y recursos para comprometerlos. Pero para un actor estatal rival, un experto en el campo vale la pena».

Ver también





Enlace a la noticia initial