Hackerii nord-coreeni au dat lovitura.

Un atac recent împotriva cercetătorilor în domeniul securității cibernetice indica faptul că Coreea de Nord caută să afle indicii de la alte puteri despre modl în are le sunt descoperite acțiunile de piraterie informatică.  Hackerii nord-coreeni au organizat un atac îndrăzneț care a vizat cercetătorii în materie de securitate cibernetică. Mulți lucrează pentru a contracara hackerii din locuri precum Coreea de Nord, Rusia, China și Iran. Atacul a implicat eforturi sofisticate de a înșela anumite persoane, ceea ce ridică nivelul de inginerie socială sau atacuri de phishing, scrie Paulo Shakarian, Associate Professor of Computer Science, Arizona State University

Atacul, raportat de cercetătorii Google, s-a axat pe conturi de socializare false pe platforme, inclusiv pe Twitter. Persoanele false, care se prezintă ca hackeri etici, au contactat cercetătorii în domeniul securității cu oferte de colaborare la cercetare. Conturile de socializare includeau conținut despre securitate cibernetică și videoclipuri falsificate care pretindeau că arată noi vulnerabilități de securitate cibernetică.

Strategia hackerilor nord-coreeni i-au adus pe cercetători să dea click pe linkuri către proiecte de coduri partajate – depozite de software legate de cercetarea securității cibernetice – care conțineau coduri tip Trojan, concepute pentru a oferi hackerilor acces la computerele cercetătorilor. Mai mulți cercetători în domeniul securității cibernetice au raportat că au fost victime ale atacului.

Hackerii nord-coreeni au dat lovitura. De la phishing la spionaj

Cel mai scăzut nivel de hack este un atac tipic de phishing: mesaje impersonale trimise multor oameni în speranța că cineva va fi înșelat să facă click pe un link fals. Atacurile de phishing au crescut în general de la începutul anului 2020 – un efect secundar al mediului de lucru de la domiciliu indus de pandemie, în care oamenii sunt uneori mai puțin vigilenți. Acesta este și motivul pentru care ransomware-ul a devenit predominant.

Următorul nivel de sofisticare este spear-phishing-ul. Aici oamenii sunt vizați cu mesaje care includ informații specifice lor sau organizațiilor lor, ceea ce crește probabilitatea ca cineva să facă click pe un link fals.

Operațiunea nord-coreeană se află la un nivel mai înalt decât spear-phishing-ul, deoarece a vizat persoanele care sunt preocupate de securitate prin natura ocupației lor. Acest lucru a impus hackerilor să creeze conturi convingătoare de social media completate cu conținut despre securitatea cibernetică, inclusiv videoclipuri, care ar putea păcăli cercetătorii în domeniul securității cibernetice.

Operațiunea nord-coreeană evidențiază trei tendințe importante: furtul mijloacelor de apărare cibernetice din industrie, folosirea rețelelor sociale ca armă și ascunderea războiului cibernetic și al informațiilor.

Hackerii nord-coreeni au dat lovitura. Furtul de mijloacelor de apărare cibernetice din industrie

Înainte de operațiunea nord-coreeană, furtul mijloacelor de apărare cibernetice a ajuns la titlu la sfârșitul anului 2020. În special, spargerea FireEye din decembrie a dus la furtul de instrumente utilizate de hackeri etici. Aceste instrumente au fost utilizate pentru a sparge securitatea clienților corporativi, pentru a le arăta clienților vulnerabilitățile lor.

Acest incident anterior, atribuit Rusiei, ilustrează modul în care hackerii au încercat să-și mărească arsenalele de arme cibernetice furând de la o firmă comercială de securitate cibernetică.

Acțiunea nord-coreeană împotriva cercetătorilor în domeniul securității arată că aceștia au adoptat o strategie similară, deși cu o tactică diferită.

În toamnă, Agenția Națională de Securitate a dezvăluit o listă de vulnerabilități – modalități prin care software-ul și rețelele pot fi piratate – care au fost exploatate de hackeri sponsorizați de stat chinezi. În ciuda acestor avertismente, vulnerabilitățile au persistat, iar informații despre modul de exploatare a acestora pot fi găsite pe rețelele de socializare și pe dark web.

Hackerii nord-coreeni au dat lovitura. Armonizarea rețelelor sociale

Operațiunile de informare – colectarea informațiilor și diseminarea dezinformării – pe rețelele de socializare au devenit abundente în ultimii ani, în special cele efectuate de Rusia. Aceasta include utilizarea „roboților sociali” pentru a răspândi informații false. Această „rețea socială patogenă” a fost utilizată atât de agenții de informații naționali, cât și de hackeri obișnuiți.

În mod tradițional, acest tip de direcționare a fost conceput pentru a răspândi dezinformarea sau a atrage un executiv sau un angajat guvernamental de rang înalt să facă clic pe un link fals. În schimb, operațiunea nord-coreeană a avut drept scop furtul mijloacelor de apărare  cibernetice și informații despre vulnerabilități.

Confluența războiului informatic și cibernetic

În afara Statelor Unite – în special în China și Rusia – operațiunile cibernetice sunt considerate parte a unui concept mai larg de război al informațiilor. Rușii, în special, s-au dovedit foarte abili în combinarea operațiunilor de informare și a operațiunilor cibernetice. Războiul informațional include folosirea mijlocului tradițional spion – agenți cu identități false care încearcă să câștige încrederea țintelor lor – pentru a colecta și disemina informații.

Atacul împotriva cercetătorilor în domeniul securității cibernetice ar putea indica faptul că Coreea de Nord ia indicii de la alte puteri. Capacitatea redusă a unui regim autoritar de rangul al doilea, cum ar fi Coreea de Nord, de a folosi social media îi oferă un avantaj față de capacitățile tehnice mult mai mari ale SUA.

În plus, nord-coreenii par să fi folosit una dintre cele mai valoroase arme cibernetice în această operațiune. Google a raportat că se pare că hackerii foloseau un mijloc de exploatare a unei vulnerabilități de zi-zero – un defect de software care nu este cunoscut pe scară largă – în browserul Google al Google în atacul asupra cercetătorilor în domeniul securității cibernetice. Odată ce se folosește un astfel de exploat, oamenii sunt alertați să se apere împotriva acestuia și devin mult mai puțin eficienți.

Pregătesc scena pentru ceva mai mare?

În materie de securitate cibernetică, știrile mari tind să fie evenimente precum operațiunea Sunburst a hackerilor ruși din decembrie – atacuri cibernetice la scară largă care provoacă mari daune. În atacul Sunburst, hackerii ruși au folosit un software utilizat pe scară largă, care le-a permis accesul la rețelele numeroaselor corporații și agenții guvernamentale.

Aceste evenimente mari sunt adesea urmate de evenimente mai mici în care se experimentează noi tehnici – adesea fără a avea un impact mare. În timp ce timpul ne va da seama dacă acest lucru este adevărat pentru operațiunea nord-coreeană, cele trei tendințe actuale – furtul armelor cibernetice din industrie, a rețelelor sociale ca armă și estomparea războiului cibernetic și al informațiilor – sunt prevestitoare de atacuri viitoare.