Állásajánlatnak álcázzák a PC-re küldött kártevőket

A kamu állásajánlatokban egészen addig mennek, hogy akár Skype-állásinterjún is faggatják a kiszemelt áldozatokat.

2020. 09. 10. 22:20
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

Fejvadászoktól érkező megkeresésnek álcázzák leveleiket észak-koreai hackerek, akik így próbálják meg rávenni az áldozataikat – elsősorban a hadiipar, a nemzetvédelem és az energiaszektor munkatársait –, hogy kártevőt telepítsenek a gépeikre.

Az Amerikai Egyesült Államok kiberbiztonsággal foglalkozó hivatala (United States Cybersecurity and Infrastructure Security Agency, CISA) egyik friss jelentésében a vállalatokat érintő új támadásformára hívja fel a figyelmet – írja a G Data. Az interneten már felbukkant a Blindingcan nevű távoli hozzáférést biztosító trójai, melynek terjesztését az Észak-Korea által támogatott Lazarus csoporthoz kötötték.

Katonai és energetikai információra buknak

Az eszközt információgyűjtéshez használják, a támadók kulcsfontosságú katonai és energiaipari információkat keresnek. Ehhez az olyan vállalatok munkatársait támadják célzottan, amelyek külsősként szerződéses munkát végezhetnek ezekben a szektorokban.

Első körben a támadók feltérképezik, hogy kik azok a kulcsfontosságú személyek, akik az információ birtokában lehetnek. A közösségi oldalak és az internet segítségével feltérképezik szakmai és baráti hálózatukat, majd fejvadászoktól érkező megkeresésnek álcázva küldenek kártevőkkel fertőzött állásajánlatokat a megcélzott személyeknek.

Skype-os interjúra is sor kerülhet

A fejvadász álca viszonylag új taktika, a fertőzött csatolmányok küldése viszont már régóta közismert és bevett fegyvere a támadóknak. Az érdekes az ügyben, hogy az észak-koreai kormányhoz köthető Lazarus csoport augusztusban nemcsak az amerikai, hanem az izraeli katonaságot is megkörnyékezte hasonló módszerekkel.

A fejvadász álcát a hackerek hamis LinkedIn profilokkal igyekeznek fenntartani. A szakmai közösségi oldalon menedzsereknek, ügyvezetőknek vagy a HR osztály vezetőinek adták ki magukat, és így vették fel a kapcsolatot az amerikai és az izraeli katonaságnak szállító vállalatok képviselőivel.

A támadók azonban nemcsak e-mailen vették fel a kapcsolatot a célpontokkal, hanem videokapcsolat segítségével (többnyire Skype) személyes interjút is végeztek a bizalom elnyeréséhez: a fellépéshez valószínűleg színészek segítségét kérték.

Az is érdekes a támadásban, hogy a korábban tapasztaltaktól eltérően a hackerek ezúttal nemcsak információt, hanem pénzt is próbáltak szerezni a célpontoktól. Észak-Koreában a hacker csoportok szakosodnak: egyesek információszerzésre mások pénzszerzésre használják, de nem szokták keverni a kettőt.

Információ kell és pénz

  • Ha a támadóknak sikerül a Blindingcan nevű trójait telepíteni a kiszemelt személy számítógépére, akkor az a következőkre képes:
  • Információt gyűjt a telepített merevlemezekről, annak típusáról és a szabadon lévő tárhelyről
  • Új folyamatokat indíthat és fejezhet be
  • Fájlokat kereshet, azokból információkat olvas ki, beléjük ír vagy futtat fájlokat
  • A fájlok vagy könyvtárak időbélyegét kiolvassa és módosítja
  • Megváltoztatja az aktuális könyvtárat az adott folyamat vagy fájl számára
  • Törli a kártevőt és a kártevővel kapcsolatba hozható fájlokat a fertőzött rendszerből
  •  

    Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

    Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.