Google’ın Tehdit Analiz Grubu (TAG), güvenlik araştırmacılarını hedef alan bir grup siber korsan tespit etti. Yapılan incelemeler sonucunda siber korsanların arkasında Kuzey Kore hükümeti olduğu belirtildi.
Siber korsanlar, araştırmacılara Twitter, LinkedIn, Telegram ve Discord gibi sosyal ağlardan ulaşıp belirli bir güvenli açığı üzerinde birlikte çalışmak isteyip istemediklerini soruyor. Kabul eden araştırmacılara Microsoft Visual Studio görünümlü korsan bir yazılım gönderiyor ve daha sonrasında bilgisayardaki tüm veriler ele geçiriliyor.
Korsan yazılım, sunucular için bir arka kapı görevi gördü
Tehdit Analiz Grubu’ndan Adam Weidemann, saldırıyı detaylandırdığı bir açıklamada şu sözleri dile getirdi; "Saldırganlar, önce sosyal medya hesaplarından iletişim kuruyor ve araştırmacıları ikna ederse korsan bir yazılım gönderiyor. Bu yazılım, sunucu için tabiri caizse bir arka kapı görevi gördü ve saldırganların cihaza ulaşmasına olanak sağladı.”
Weidemann, saldırganların amacının her zaman korsan yazılım göndermek olmadığını, araştırmacıları kötü amaçlı bir kod barındıran bir blog sitesine de yönlendirmeye çalıştıklarını dile getirdi.
Google, araştırmacılarının daha detaylı bilgiler paylaşmasını istiyor
Google, siber güvenlik ekibinde bu korsanlarla tanışan insanların bir an önce saldırı ile ilgili daha fazla detaylı bilgi paylaşmasını istiyor. Ekipte bulunan herkesten tarayıcı geçmişlerinie göz atmaları ve blog.br0vvnn.io adı altında bir siteye erişim sağlayıp sağlamadıklarının kontrol edilmesi istendi.
Ekipten birçok kişi, Twitter üzerinden açıklama yaptı ve saldırganların kendileriyle iletişime geçmeye çalıştıklarını dile getirdi. Oltaya gelmeyen bir güvenlik araştırmacısı, James Willy adında sahte bir hesapla arasında geçen diyalogu paylaştı.
-Merhaba James, soru sorabilirsin tabii, ben de elimden geldiğince cevaplamaya çalışacağım.
-Windows kernel kodları ve tarayıcı üzerinde bazı açıklar buldum. Şu anda DirectX kernel kodları üzerinde çalışıyorum. Hangi iletişim ağını kullanıyorsun? Seninle paylaşacağım detaylar son derece hassas bilgilerden oluşuyor. Discord kullanıyor musun?
-Kusura bakma, bu konuyu konuşamam. Eğer gerçekten hassas bilgilere sahipsen dikkatli olmanı öneririm ve eğer bu bilgiler teknik detaylar içeriyorsa Microsoft kernel kodları ile yetkili bir insanla görüşmelisin.