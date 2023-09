Googlen Threat Analysis Group (TAG) on paljastanut yksityiskohtia Pohjois-Koreasta peräisin olevasta kyberkampanjasta, joka on suunnattu erityisesti tietoturvatutkijoille. Kampanja, jota on seurattu tammikuusta 2021 lähtien, sisältää useita hyökkäyksiä ja ainakin yhden nollapäivän haavoittuvuuden hyödyntämisen. Vaikka Google ei ole paljastanut haavoittuvuuden ja haavoittuvan ohjelmiston yksityiskohtia, yritys on ilmoittanut ongelmasta myyjälle, joka työskentelee parhaillaan korjaustiedoston parissa.

Näissä hyökkäyksissä uhkatoimijat muodostavat yhteyden tietoturvatutkijoiden kanssa sosiaalisen median alustojen kautta ennen kuin siirtyvät salattuihin viestintäsovelluksiin. Kun luottamus on muodostunut, hyökkääjät jakavat haitallisia tiedostoja, jotka sisältävät nollapäivän haavoittuvuuksia laajalti käytetyissä ohjelmistopaketeissa. Kun haitallinen koodi hyödynnetään onnistuneesti, se suorittaa antivirtuaalisia konetarkistuksia ja lähettää kerätyt tiedot hyökkääjien hallitsemaan komento- ja ohjausalueeseen.

Viakoon Viakoo Labsin varatoimitusjohtajan John Gallagherin mukaan on haastavaa seurata ja tutkia kaikkia vuorovaikutuksia tietoturvatutkimuksen maailmassa, joka usein perustuu Internetin kautta syntyneisiin suhteisiin. Hän neuvoo organisaatioita noudattamaan "ei poikkeuksia" -käytäntöä käsitellessään ohjelmistoja tai linkkejä organisaationsa ulkopuolelta.

Nollapäivän hyväksikäytön lisäksi uhkatoimijat ovat kehittäneet myös Windows-työkalun, joka lataa virheenkorjaussymbolit suurimmista symbolipalvelimista, kuten Microsoftin, Googlen, Mozillan ja Citrixin palvelimilta. Tämä näennäisesti laillinen työkalu voi suorittaa mielivaltaista koodia hyökkääjien ohjaamista verkkotunnuksista, mikä saattaa vaarantaa uhrien järjestelmät.

Kansallisvaltioiden, kuten Pohjois-Korean ja Venäjän, kohdistamat turvallisuustutkijat ovat yleistyneet ja kehittyneet vuosien mittaan. Näiden operaatioiden tarkoituksena ei ole vain varastaa tietoa, vaan myös saada tietoa puolustusmekanismeista, tarkentaa taktiikoita ja välttää tulevaa havaitsemista.

Näiden uhkien lieventämiseksi TAG neuvoo henkilöitä, jotka ovat saattaneet ladata tai suorittaa työkalun, ryhtymään varotoimiin, mukaan lukien harkitsemaan järjestelmän uudelleenasennusta.

Lähde: Google Threat Analysis Group (TAG)