Fejvadásznak álcázva, állásajánlatként küldenek kártevőt a PC-re

Címkék#G Data #hacker #vírusirtó #BLINDINGCAN #hamis LinkedIn profilok #állásinterjúnak álcázva #ál-fejvadász

A kamu állásajánlatokban egészen addig mennek, hogy akár Skype-állásinterjún is faggatják a kiszemelt áldozatokat.

Forrás: Shutterstock

Fejvadászoktól érkező megkeresésnek álcázzák leveleiket észak-koreai hackerek, akik így próbálják meg rávenni az áldozataikat – elsősorban a hadiipar, a nemzetvédelem és az energiaszektor munkatársait –, hogy kártevőt telepítsenek a gépeikre.

Az Amerikai Egyesült Államok kiberbiztonsággal foglalkozó hivatala (United States Cybersecurity and Infrastructure Security Agency, CISA) egyik friss jelentésében a vállalatokat érintő új támadásformára hívja fel a figyelmet – írja a G Data. Az interneten már felbukkant a Blindingcan nevű távoli hozzáférést biztosító trójai, melynek terjesztését az Észak-Korea által támogatott Lazarus csoporthoz kötötték.

Katonai és energetikai információra buknak

Az eszközt információgyűjtéshez használják, a támadók kulcsfontosságú katonai és energiaipari információkat keresnek. Ehhez az olyan vállalatok munkatársait támadják célzottan, amelyek külsősként szerződéses munkát végezhetnek ezekben a szektorokban.

Első körben a támadók feltérképezik, hogy kik azok a kulcsfontosságú személyek, akik az információ birtokában lehetnek. A közösségi oldalak és az internet segítségével feltérképezik szakmai és baráti hálózatukat, majd fejvadászoktól érkező megkeresésnek álcázva küldenek kártevőkkel fertőzött állásajánlatokat a megcélzott személyeknek.

Skype-os interjúra is sor kerülhet

A fejvadász álca viszonylag új taktika, a fertőzött csatolmányok küldése viszont már régóta közismert és bevett fegyvere a támadóknak. Az érdekes az ügyben, hogy az észak-koreai kormányhoz köthető Lazarus csoport augusztusban nemcsak az amerikai, hanem az izraeli katonaságot is megkörnyékezte hasonló módszerekkel.

A fejvadász álcát a hackerek hamis LinkedIn profilokkal igyekeznek fenntartani. A szakmai közösségi oldalon menedzsereknek, ügyvezetőknek vagy a HR osztály vezetőinek adták ki magukat, és így vették fel a kapcsolatot az amerikai és az izraeli katonaságnak szállító vállalatok képviselőivel.

A támadók azonban nemcsak e-mailen vették fel a kapcsolatot a célpontokkal, hanem videokapcsolat segítségével (többnyire Skype) személyes interjút is végeztek a bizalom elnyeréséhez: a fellépéshez valószínűleg színészek segítségét kérték.

Információ kell és pénz

Ha a támadóknak sikerül a Blindingcan nevű trójait telepíteni a kiszemelt személy számítógépére, akkor az a következőkre képes:

Információt gyűjt a telepített merevlemezekről, annak típusáról és a szabadon lévő tárhelyről

Új folyamatokat indíthat és fejezhet be

Fájlokat kereshet, azokból információkat olvas ki, beléjük ír vagy futtat fájlokat

A fájlok vagy könyvtárak időbélyegét kiolvassa és módosítja

Megváltoztatja az aktuális könyvtárat az adott folyamat vagy fájl számára

Törli a kártevőt és a kártevővel kapcsolatba hozható fájlokat a fertőzött rendszerből

Az is érdekes a támadásban, hogy a korábban tapasztaltaktól eltérően a hackerek ezúttal nemcsak információt, hanem pénzt is próbáltak szerezni a célpontoktól. Észak-Koreában a hacker csoportok szakosodnak: egyesek információszerzésre mások pénzszerzésre használják, de nem szokták keverni a kettőt.

Borítóképünk illusztráció