Target Korea Utara — dan Dupes — Banyak Ahli Keamanan Siber


Suatu awal Januari Pagi hari, peneliti keamanan Zuk Avraham mendapat pesan langsung yang tidak bisa dijelaskan tiba-tiba di Twitter: “Hai.” Itu dari seseorang bernama Zhang Guo. Pesan singkat yang tidak diminta itu tidak terlalu aneh; sebagai pendiri perusahaan pemantau ancaman ZecOps dan perusahaan antivirus Zimperium, Avraham mendapat banyak DM acak.

Zhang mengaku sebagai web developer dan pemburu bug di bio Twitter-nya. Profilnya menunjukkan bahwa dia membuat akunnya Juni lalu dan memiliki 690 pengikut, mungkin pertanda bahwa akun tersebut dapat dipercaya. Avraham menanggapi dengan halo sederhana malam itu dan Zhang segera membalas, “Terima kasih atas balasan Anda. Saya punya beberapa pertanyaan? ” Dia kemudian mengungkapkan minatnya pada kerentanan Windows dan Chrome dan bertanya kepada Avraham apakah dia sendiri adalah peneliti kerentanan. Di situlah Avraham membiarkan percakapan itu berhenti. “Saya tidak menjawab — saya kira karena sibuk menyelamatkan saya di sini,” katanya kepada WIRED.

Avraham bukanlah satu-satunya orang yang melakukan percakapan semacam ini dengan akun Twitter “Zhang Guo” dan alias yang terkait, yang semuanya sekarang ditangguhkan. Lusinan peneliti keamanan lainnya — dan mungkin bahkan lebih — di Amerika Serikat, Eropa, dan China menerima pesan serupa dalam beberapa bulan terakhir. Tetapi seperti yang diungkapkan oleh Grup Analisis Ancaman Google pada hari Senin, pesan-pesan itu sama sekali bukan dari penggemar perburuan serangga. Itu adalah karya para peretas yang dikirim oleh pemerintah Korea Utara, bagian dari kampanye besar-besaran serangan rekayasa sosial yang dirancang untuk membahayakan profesional keamanan siber profil tinggi dan mencuri penelitian mereka.

Para penyerang tidak membatasi diri pada Twitter. Mereka mengatur identitas di Telegram, Keybase, LinkedIn, dan juga Discord, mengirim pesan kepada peneliti keamanan yang mapan tentang potensi kolaborasi. Mereka membangun blog yang tampak sah lengkap dengan jenis analisis kerentanan yang akan Anda temukan dari perusahaan nyata. Mereka telah menemukan kekurangan dalam Microsoft Windows, kata mereka, atau Chrome, tergantung pada keahlian target mereka. Mereka membutuhkan bantuan untuk mencari tahu apakah itu bisa dieksploitasi.

Itu semua di depan. Setiap pertukaran memiliki tujuan yang sama: Membuat korban mengunduh malware yang menyamar sebagai proyek penelitian, atau mengklik link di postingan blog yang dipenuhi malware. Menargetkan peneliti keamanan, seperti yang disebut Google, adalah “metode rekayasa sosial baru”.

“Jika Anda telah berkomunikasi dengan salah satu akun ini atau mengunjungi blog para aktor, kami sarankan Anda meninjau sistem Anda,” tulis peneliti TAG Adam Weidemann. “Sampai saat ini, kami hanya melihat para aktor ini menargetkan sistem Windows sebagai bagian dari kampanye ini.”

Para penyerang terutama berusaha menyebarkan malware mereka dengan berbagi proyek Microsoft Visual Studio dengan target. Visual Studio adalah alat pengembangan untuk menulis perangkat lunak; para penyerang akan mengirim kode sumber exploit yang mereka klaim sedang dikerjakan dengan malware sebagai penyelundup. Setelah korban mengunduh dan membuka proyek tercemar, perpustakaan jahat akan mulai berkomunikasi dengan server perintah dan kontrol penyerang.

Tautan blog berbahaya memberikan jalan potensial yang berbeda untuk infeksi. Dengan satu klik, target tanpa sadar memicu eksploitasi yang memberi penyerang akses jarak jauh ke perangkat mereka. Para korban melaporkan bahwa mereka menjalankan versi Windows 10 dan Chrome saat ini, yang mengindikasikan peretas mungkin telah menggunakan eksploitasi Chrome yang tidak diketahui, atau zero-day, untuk mendapatkan akses.

Avraham dari ZecOps mengatakan bahwa meskipun para peretas tidak membodohi dia dalam obrolan DM singkat mereka, dia mengklik tautan di salah satu posting blog penyerang yang dimaksudkan untuk menunjukkan beberapa kode yang berhubungan dengan penelitian. Dia melakukannya dari perangkat Android yang berdedikasi dan terisolasi yang menurutnya sepertinya tidak terganggu. Tetapi fokus dari analisis blog palsu itu mengibarkan bendera merah pada saat itu. “Saya menduga begitu saya melihat kode shell,” katanya tentang muatan malware yang disebarkan penyerang dalam upaya kompromi. “Itu agak aneh dan samar.”


Diposting oleh : SGP Prize