Cuentas de Twitter falsas y un blog deshonesto son utilizados para atrapar a los investigadores de seguridad, incluidos los de Google.
Los piratas informáticos norcoreanos se han hecho pasar por blogueros de ciberseguridad para apuntar a investigadores en el campo, según Google. Lo están haciendo explotando misteriosas debilidades en las computadoras que ejecutan las versiones más actualizadas de Microsoft Windows y Google Chrome, advirtió el gigante tecnológico.
Adam Weidemann, investigador del Grupo de Análisis de Amenazas de Google, dijo que los ataques han continuado durante los últimos tres meses. Los piratas informáticos crearon cuentas de Twitter falsas para mostrar investigaciones de seguridad y vincularlas a un blog. Una de las cuentas, @br0vvnn, afirmó ser el fundador de @BrownSec3Labs y parecía estar publicando investigaciones inofensivas y promocionando el trabajo de otros, incluido el investigador de Google, Ben Hawkes.
A principios de este mes, otro investigador de Google, Thomas Shadwell, recibió un mensaje directo de Twitter de uno de los hackers, Zhang Guo, aunque no está claro qué querían. Si bien el blog contenía algunas investigaciones legítimas (así como material falso), también albergaba un exploit que instalaría una puerta trasera en la PC de la víctima. Hasta ahora, solo las PC con Windows han sido atacadas.
“En cada uno de estos casos, los investigadores siguieron un enlace en Twitter a un artículo alojado en blog.br0vvnn [.] Io y, poco después, se instaló un servicio malicioso en el sistema del investigador y se instalaría una puerta trasera en la memoria. comenzar a enviar señales a un servidor de comando y control propiedad del actor ”, escribió Weidemann en una publicación de blog de Google.
“En el momento de estas visitas, los sistemas de las víctimas estaban ejecutando versiones de navegador Windows 10 y Chrome completamente parcheadas y actualizadas. En este momento no podemos confirmar el mecanismo de compromiso, pero agradecemos cualquier información que otros puedan tener “.
Tales vulnerabilidades de “día cero” son raras y potentes en manos de un pirata informático, que puede usarlas en cualquier objetivo sabiendo que su software contendrá los agujeros de seguridad relevantes. Weidemann señaló que Google ofrece una recompensa en efectivo a cualquiera que revele tales fallas, como lo hacen Microsoft, Apple y muchas otras empresas de tecnología.
Google dijo que “una entidad respaldada por el gobierno con sede en Corea del Norte” era responsable. El hecho de que el país esté apuntando a los investigadores de seguridad, que a menudo están al tanto de las últimas vulnerabilidades y agujeros en diferentes software, podría causar alarma entre las naciones occidentales. Corea del Norte se ha relacionado con algunos de los ataques de piratería informática más descarados y agresivos de los últimos años, que van desde atacar gobiernos y atracos de bitcoins hasta filtrar miles de correos electrónicos y archivos de Sony Pictures en línea.
Los hackers también se volvieron más personales con sus objetivos, agregó Weidemann. Preguntarían a un investigador si querían colaborar juntos en la investigación de vulnerabilidades, proporcionándoles un proyecto de Microsoft Visual Studio. Ese proyecto contenía un código malicioso que se lanzaría en la PC del objetivo y comenzaría a enviar señales a los piratas informáticos, quienes luego podrían explorar el sistema infectado en busca de más debilidades.
Weidemann proporcionó una lista de sitios web, así como las cuentas de Twitter, LinkedIn, Telegram y Keybase utilizadas por los piratas informáticos. Sugirió que cualquier persona que se comunique con cualquiera de estas cuentas o visite el blog de los actores revise sus sistemas en busca de signos de una infracción.
Por: Thomas Brewster | Forbes Staff