‘Noord-Koreaanse staatshackers richten zich op security-onderzoekers’

Abonneer je gratis op Techzine!

Security-experts die kwetsbaarheden onderzoeken zijn de laatste tijd doelwit van persistent threat-aanvallers vanuit Noord-Korea. Daar waarschuwt Google voor.

Volgens de techgigant hebben de Noord-Koreaanse hackers een onderzoekwebsite en verschillende fake Twitter- en LinkedIn-accounts opgezet. Hiermee hopen ze security-onderzoekers te verleiden om informatie over hun onderzoeken te delen. Het blog bevat onder meer openbare informatie over recent onderzoek naar kwetsbaarheden en verschillende reacties van echte onderzoekers. Deze onderzoekers waren in de veronderstelling dat zij op een legitieme site commentaar leverden en niet op een fake site.

Fake exploit voor malware-infiltratie

Daarnaast plaatsten de Noord-Koreanen ook een post over een zogenaamd ontdekte exploit voor Windows Defender. Onderzoekers werden daarbij uitgenodigd om commentaar te leveren. Als zij commentaar leverden, dan werd voorgesteld om samen te werken. De onderzoekers kregen vervolgens een gemanipuleerd Visual Studio Project toegestuurd met broncode voor de exploit en een additionele DLL. Deze DLL omvat echter malware die onmiddellijk met een door de Noord-Koreanen beheerde C&C-server verbindt.

Mogelijk voordeel voor hackers

Volgens de techgigant proberen de Noord-Koreaanse hackers informatie in te winnen over vroegtijdig ontdekte en nog niet breed gecommuniceerde kwetsbaarheden. Zo kunnen zij straks hun kwaadaardige oplossingen sneller aanpassen aan de ontdekkingen van bestrijders en dus een voordeel hebben.

Het is niet bekend hoeveel securityonderzoekers en -specialisten in de fake blogs, twitter- en LinkedIn-accounts zijn getrapt.