Cum s-au folosit spionii de LinkedIn pentru a ataca două companii europene din industria apărării
0Experţii în materie de ameninţări cibernetice de la ESET au descoperit operaţiuni de spionaj asupra angajaţilor a două firme europene din industria aeronautică şi de apărare, relatează Cyberscoop.
Atacurile de tip ameninţare persistentă avansată, venite din partea unui grup de hackeri asociaţi unui guvern străin, au avut loc între septembrie şi decembrie 2019 şi au pornit sub forma unor recrutări false pe LinkedIn.
Angajaţi de la departamente diferite au fost vizaţi de atacuri ca mod de a pătrunde în reţelele informatice ale organizaţiilor respective. Dincolo de operaţiunile de spionaj, au avut loc şi încercări de sustragere a unor bani din conturi.
Cercetătorii de la ESET nu au identificat încă cine stă în spatele operaţiunilor, deşi au câteva indicii care duc către Grupul Lazarus, un grup de hackeri conectaţi cu guvernul nord-coreean.
SUA au acuzat în repetate rânduri China de faptul că utilizează platforma pentru recrutarea de talente americane. Kevin Mallory, fost ofiţer clandestin al CIA, a fost condamnat pentru spionaj în 2018, după ce a transmis informaţii clasificate agenţiilor de informaţii chineze. Totul a început în 2017 când un headhunter chinez l-a contactat Mallory pe LinkedIn şi l-a prezentat cuiva care lucra la un think tank chinez.
Coreea de Nord a folosit platforma de recrutare pentru a pregăti atacul asupra Sony Pictures Entertainment, în 2014, dar şi cel asupra Băncii din Bangladesh, soldat cu furtul a 81 de milioane de dolari.
În cazul de faţă, atacul a implicat utilizatori LinkedIn care s-au dat drept recrutori ai unor firme majore americane din industrie, Collins Aerospace, respectiv General Dynamics, şi au trimis mesaje flatante angajaţilor europeni. În principiu aceştia le-au spus că sunt „elite” şi că îi aşteaptă nişte posturi la renumitele companii.
În cazul unor angajaţi s-a ajuns la trimiterea pe mail a unor oferte care conţineau fişiere spion.
„Atacatorii au fost destul de agresivi şi persuasivi în a-şi determina ţintele să deschidă documente rău intenţionate”, a declarat Boutin, cercetătorul ESET. "În unele cazuri, ţinta avea dificultăţi tehnice să le deschidă, iar atacatorii făceau mari eforturi să rezolve problema."
Prin aceşti angajaţi au intrat în reţelele informatice ale companiilor unde au folosit atacuri de tip forţă brută (încercare a unor multiple parole) pentru accesa fişiere şi a obţine o listă a conturilor administrative şi a parolelor asociate.
Echipa lui Boutin nu a putut identifica ce fişiere anume au fost piratate, dar sunt de părere că este vorba de „informaţii sensibile de ordin tehnic şi administrativ”. Hackerii au încercat să-şi şteargă urmele, eliminând conturile de LinkedIn şi fişierele extrase din computerele piratate.
O parte din codul spion are similarităţi cu instrumentele folosite de hackerii din grupul Lazarus. Acestea includ o „uşă din spate” cunoscută ca NukeSped, un mijloc de atac folosit împotriva utilizatorilor coreeni de sisteme de operare Apple.
Spionii au mizat pe rivalităţile între corporaţii pentru a spori şansele de succes ale operaţiunilor lor.
„Cei mai mulţi oameni nu vor dezvălui angajatorului lor activităţi suspecte asociate unei oferte de muncă primite de la un competitor care le-a stârnit curiozitatea”, a explicat Boutin.