Google Mengungkapkan Kampanye Yang Didukung Korea Utara Yang Menargetkan Peneliti Keamanan

Grup Analisis Ancaman Google telah mengidentifikasi kampanye yang sedang berlangsung yang menargetkan peneliti keamanan yang bekerja pada kerentanan selama beberapa bulan terakhir. Tim tersebut mengatakan "entitas yang didukung pemerintah yang berbasis di Korea Utara " berada di balik serangan, yang biasanya menggunakan manipulasi psikologis untuk melibatkan para korban. Dalam sebuah pos yang merinci kampanye tersebut, TAG Adam Weidemann menjelaskan bahwa para pelaku kejahatan akan berusaha keras untuk mendapatkan korban kepercayaan, sebagian besar dengan menyamar sebagai peneliti itu sendiri.

Mereka akan membuat blog penelitian sendiri dan mengisinya dengan analisis kerentanan yang telah diungkapkan secara publik untuk membuat diri mereka tampak sah. Para pelaku kejahatan juga mempertahankan akun Twitter untuk memposting video dari eksploitasi yang diklaim mereka dan untuk menjangkau orang sebanyak mungkin. Setidaknya dalam satu contoh, Google menemukan salah satu akun Twitter yang membela video yang diposting oleh aktor jahat di YouTube berisi eksploitasi yang ternyata palsu.

Tim TAG Google mengatakan para penyerang menghubungi korban yang dituju, meminta untuk berkolaborasi dalam penelitian kerentanan. Selain Twitter, mereka juga menggunakan LinkedIn, Telegram, Discord, Keybase, dan email untuk menjangkau target mereka, mengirimi mereka Proyek Microsoft Visual Studio dengan malware untuk masuk ke sistem mereka. Dalam beberapa kasus, korban komputer disusupi setelah mengunjungi blog aktor jahat setelah mengikuti tautan di Twitter. Kedua metode tersebut mengarah pada pemasangan pintu belakang pada korban komputer yang menghubungkan mereka ke server kontrol dan perintah yang dikendalikan penyerang.

Para korban sistem disusupi saat menjalankan browser Windows 10 dan Chrome yang sepenuhnya ditambal dan diperbarui. Tim TAG Google hanya melihat penyerang yang menargetkan sistem Windows, sejauh ini, tetapi masih tidak dapat mengkonfirmasi "mekanisme penyusupan" dan mendorong peneliti untuk mengirimkan kerentanan Chrome ke program bug bounty-nya. Tim juga telah membuat daftar semua situs web dan akun yang dikendalikan aktor yang telah diidentifikasi sebagai bagian dari kampanye.