Uwaga! Koreańscy hackerzy podszywają się pod rekruterów

Stworzona i utrzymywana przez północnokoreański reżim grupa ZINC dystrybuuje rzekomo doskonałe narzędzia open source. Ale zawierają one w sobie wiele typów trudno wykrywalnych przez standardowe oprogramowanie antywirusowe wirusów typu malware

ZINC istnieje od 2009 r. i znana jest ze spektakularnych ataków na serwery największych koncernów zachodnich. To ta grupa stoi za atakiem na Sony Pictures w 2014 r. Miał to być odwet za komedię Setha Rogena „Wywiad ze Słońcem Narodu”, w którym w krzywym zwierciadle został przedstawiony Kim Dzong Un.

Na początku grupa prowadziła długotrwałe ataki phishingowe na media, instytucje i organizacje obronne i kosmiczne oraz usługi IT powiązane z branżą zbrojeniową w USA, Wlk. Brytanii, Indiach i Rosji. Według nieoficjalnych informacji to właśnie ta grupa stała za kradzieżą danych z firm zbrojeniowych, przy czym jej postępowanie miało znamiona typowe dla czarnego rynku w cyberprzestrzeni – wykradali dane z baz na zamówienie i sprzedawali za wysoką cenę. Potrafili jednocześnie sprzedać ten sam materiał dwóm aktorom państwowym – np. dane z USA prawdopodobnie zostały sprzedane jednocześnie Chińczykom i Rosjanom. Z kolei dane z Indii i Rosji trafiły do Chin, a brytyjskie – do Rosji.

Od czerwca 2022 r. grupa zmieniła jednak taktykę, tworząc całe scenariusze socjotechniczne – kontaktowała się z wybranymi inżynierami w działach IT, wsparcia technicznego, niezależnymi deweloperami i programistami na LiknedIn. jej przedstawiciele podawali się za rekuterów znanych firm HR lub korporacji IT. Przełączali komunikację na „prywatną” na WhatsApp i proponowali udział w projektach lub wykonanie projektu jako etapu rekrutacji. Według badania Glassdoor jednego z najbardziej znanych portali i agencji pośrednictwa pracy, specjaliści IT, programiści i pracownicy działów wsparcia IT są osobami najczęściej poszukującymi lepszej pracy – rekordziści zmieniali ją już po 1,5-2 latach, a w tym zawodzie częste są także rozmowy z rekruterami. Nic więc dziwnego, że przy dobrze skonstruowanym profilu rekrutera takie osoby, mimo iż znające zasady bezpieczeństwa, mogły wchodzi w zawodowe rozmowy z profilami, za którymi stali hackerzy.

Według ujawnionych już przypadków ataków, po zgodzie na „wstępną pracę przy projekcie” bądź wstępny etap rekrutacji, ofiary dostawały „firmowy pakiet oprogramowania”. Było to oprogramowanie Open Source w skład pakietu wchodziły .in. programy PuTTY, KiTTY, TightVNC, Sumatra PDF Reader i instalator oprogramowania muPDF/Subliminal Recording. W pakiecie znajdowało się też oprogramowanie Themida lub VMProtect chroniące przed nieuprawnionym dostępem, ale tu wykorzystywane do ochrony dostępu hackerskiego oraz malware ZetaNile umożliwiające kradzież danych zwłaszcza finansowych.

Zainstalowanie tego pakietu pozwalało nie tylko na włamanie do komputera ofiary, ale także przez ten komputer do sieci intranetowej firmy, dla której ofiara pracowała. Serwer zarządzania malware umieszczony w Północnej Korei łączył się z komputerami ofiar dzięki „zakodowaniu informacji o ofierze w parametrach popularnych słów kluczowych, takich jak gametype lub bbs w HTTP POST” – jak napisał w swoim ostrzeżeniu Microsoft. Po zainstalowaniu przez nieświadomą ofiarę pakietu od „rekrutera”, cyberprzestępcy łączyli się z nim i używali niestandardowych narzędzi zdalnego dostępu, takich jak FoggyBrass i PhantomStar.

Dział Threat Prevention and Defense LinkedIn wykrył już wcześniej, że ZINC tworzył fałszywe profile rekruterów i celował w inżynierów oraz specjalistów wsparcia technicznego. Gdy dział znalazł taki profil, zamykał go. Wobec tego hackerzy z Korei zmienili taktykę – rozszerzyli działanie na programistów i deweloperów, zaczęli tworzyć bardziej dopracowane profile i rejestrować je według wzorca przypominającego postępowania prawdziwych rekruterów.

ZINC wybierał programistów i deweloperów związanych z przemysłem obronnym, branżą finansową i instytucjami rządowymi, w Europie Zachodniej, Środkowej, USA, Kanadzie, Rosji, Indiach i krajach arabskich. Jego ataki umożliwiały włamanie się nie tylko na ich komputery ale i poprzez zaatakowane maszyny na włamania do sieci firm i instytucji dla których pracowali. Microsoft sądzi, że celem ataków wydaje się zwykłe cyberszpiegostwo, takie jak uprawiała dotąd północnokoreańska grupa, ale poza tym kradzież danych oraz funduszy, których Pyongjang bardzo potrzebuje.

Jest prawdopodobne, że niektóre ataki trafiły także na programistów lub osoby z IT pracujące w Polsce, choć do tej pory nie ma dowodów, że hackerzy z Północnej Korei zdołali dzięki temu pozyskać jakieś dane. Jednak Microsoft ocenia zagrożenie jako „duże”.

„Ze względu na szerokie wykorzystanie platform i oprogramowania, które ZINC wykorzystuje w tej kampanii, ta grupa hackerska może stanowić poważne zagrożenie dla osób i organizacji w wielu sektorach i regionach” – zauważa w swoim oświadczeniu Microsoft. Koncern z Redmond zaleca skanowanie wskaźników naruszenia spójności, czyli włamania (IOC) i ruchu z niektórych adresów IP. Konieczne jest także ścisłe zachowywanie wymagań dotyczących uwierzytelniania dla dostępu zdalnego i zapewnienie korzystania z uwierzytelniania wieloskładnikowego.