Een vijftal Zero-Day-kwetsbaarheden zou over het afgelopen jaar gebruikt zijn om doelwitten in Noord-Korea te hacken, zo menen onderzoekers van de Google Threat Analysis Group. Waar Google zelf geen uitspraken doet over wie er achter de aanvallen zit, wijst cybersecurityfirma Kaspersky naar buurland Zuid-Korea.
De hackers zouden kwetsbaarheden in Internet Explorer, Google Chrome en Windows zelf hebben gebruikt om middels phishing-emails (met malware verstopt in meegestuurde bestanden) om toegang te krijgen tot computers in het afgeschermde land. Tegenover WIRED laat Kaspersky weten dat het de bevindingen van Google heeft kunnen linken aan de hackergroep DarkHotel, dat in het verleden vaker de pijlen richtte op Noord-Korea. Ook zou de groep in dienst van de Zuid-Koreaanse regering opereren.
‘Indrukwekkende’ prestatie
Het tonen van virtuele spierballen richting buurland Noord-Korea is volgens de cyberexperts van Google niets verrassends, maar de manier waarop het dit keer gebeurde wel. In één jaar tijd vijf Zero-Days gebruiken in één campaign is een behoorlijke prestatie.
“Om zoveel Zero-Day-kwetsbaarheden te vinden in een relatief korte tijd én vanaf één partij, is behoorlijk zeldzaam. Het merendeel van de doelwitten die we hebben geïdentificeerd komen uit Noord-Korea, of zijn mensen die werken aan Noord-Korea gerelateerde problemen.”
Kaspersky legde de link met DarkHotel (en daarmee Zuid-Korea) slechts een paar uur na de bekendmaking van Google, aangezien het twee van de kwetsbaarheden eerder had teruggeleid naar de groep. De kwetsbaarheden in Windows en Internet Explorer zouden in het verleden ook door de groep zijn gebruikt om malware te installeren op computers. Aangezien Google de vijf gevonden problemen toewees aan één individuele groep, was het volgens Kaspersky ‘behoorlijk aannemelijk dat ze allemaal gerelateerd zijn aan DarkHotel’.