Anot Microsoft, Šiaurės Korėjos įsilaužėlių grupė anksčiau rugpjūtį pasinaudojo anksčiau nežinoma „Chrome“ klaida, kad nusitaikytų į organizacijas, siekdama pavogti kriptovaliutą.
Penktadienį paskelbtoje ataskaitoje technologijų milžinės kibernetinio saugumo tyrėjai teigė, kad pirmą kartą įsilaužėlių veiklos įrodymus pamatė rugpjūčio 19 d., ir teigė, kad įsilaužėliai buvo susiję su grupe, pavadinta Citrine Sleet, kuri, kaip žinoma, taikosi į kriptovaliutų pramonę.
Remiantis ataskaita, įsilaužėliai išnaudojo pagrindinio „Chromium“ variklio, pagrindinio „Chrome“ kodo ir kitų populiarių naršyklių, tokių kaip „Microsoft's Edge“, trūkumą. Kai įsilaužėliai pasinaudojo pažeidžiamumu, tai buvo nulinė diena, o tai reiškia, kad programinės įrangos gamintojas – šiuo atveju „Google“ – nežinojo apie klaidą ir todėl neturėjo laiko pataisyti iki jos išnaudojimo. Anot „Microsoft“, „Google“ ištaisė šią klaidą po dviejų dienų, rugpjūčio 21 d.
„Google“ atstovas spaudai Scottas Westoveris „TechCrunch“ sakė, kad „Google“ neturėjo jokių komentarų, išskyrus patvirtinimą, kad klaida buvo pataisyta.
„Microsoft“ teigė informavusi „tikslinius ir pažeistus klientus“, tačiau nepateikė daugiau informacijos apie tai, į ką buvo nukreipta, nei į kiek taikinių ir aukų buvo nutaikyta ši įsilaužimo kampanija.
Susisiekite su mumis
Ar turite daugiau informacijos apie Šiaurės Korėjos vyriausybės programišius ar kitą vyriausybės remiamą įsilaužimo veiklą? Naudodami neveikiantį įrenginį galite saugiai susisiekti su Lorenzo Franceschi-Bicchierai telefonu +1 917 257 1382 arba per Telegram ir Keybase @lorenzofb arba el. paštu. Taip pat galite susisiekti su „TechCrunch“ naudodami „SecureDrop“.
„Microsoft“ atstovas Chrisas Williamsas, paklaustas „TechCrunch“, atsisakė pasakyti, kiek organizacijų ar įmonių buvo paveikta.
Tyrėjai rašė, kad „Citrine Sleet“ „įsikūrusi Šiaurės Korėjoje ir visų pirma skirta finansinėms institucijoms, ypač kriptovaliutą valdančioms organizacijoms ir asmenims, siekdama finansinės naudos“, o grupė „atliko platų kriptovaliutų pramonės ir su ja susijusių asmenų žvalgybą“. jos socialinės inžinerijos metodai.
„Grėsmės veikėjas kuria netikras svetaines, kurios prisidengia teisėtomis kriptovaliutų prekybos platformomis, ir naudoja jas, kad platintų netikras darbo paraiškas arba priviliotų taikinius atsisiųsti ginkluotą kriptovaliutų piniginę ar prekybos programą, pagrįstą teisėtomis programomis“, – rašoma pranešime. „Citrine Sleet dažniausiai užkrečia taikinius su unikalia Trojos arklys, kurią sukūrė AppleJeus, kuri renka informaciją, reikalingą taikinių kriptovaliutų turto kontrolei.
Šiaurės Korėjos įsilaužėlių ataka prasidėjo apgaule apgaule aukai apsilankius interneto domene, kurį kontroliuoja įsilaužėliai. „Microsoft“ ataskaitoje teigiama, kad dėl kito „Windows“ branduolio pažeidžiamumo įsilaužėliai galėjo įdiegti „rootkit“ – kenkėjiškos programos, turinčios gilią prieigą prie operacinės sistemos, tipą.
Tuo metu iš esmės žaidimas baigtas dėl tikslinės aukos duomenų, nes įsilaužėliai visiškai kontroliavo įsilaužtą kompiuterį.
Kriptografija daugelį metų buvo Šiaurės Korėjos vyriausybės įsilaužėlių taikinys. Jungtinių Tautų Saugumo Tarybos grupė padarė išvadą, kad režimas 2017–2023 m. pavogė 3 milijardus dolerių kriptovaliutų. Atsižvelgiant į tai, kad Kim Jong Uno vyriausybei taikomos griežtos tarptautinės sankcijos, režimas, siekdamas finansuoti savo branduolinių ginklų programą, ėmėsi kriptovaliutų vagystės.