Örök igazság, hogy mindig a legegyszerűbb megoldások a leghatékonyabbak. Sajnos ezt most észak-koreai hekkerek igazolták. Célzott támadásaiknak több száz szabadúszó szoftverfejlesztő esett áldozatul, állítja az ESET egy friss elemzése. Az áldozatok között voltak juniorok és tapasztalt, öreg rókák egyaránt.

A feltételezések szerint 2024 eleje óta tartó támadásnak, amit a kutatók DeceptiveDevelopmentnek neveztek el, olyan fejlesztők voltak a célpontjai, akik kriptovalutákkal és decentralizált pénzügyi projektekkel kapcsolatos projekteken dolgoztak angol nyelvű környezetben.

És az az egyszerű módszer

A támadók hamis vagy eltérített profilok segítségével szoftverfejlesztőket toborzó fejvadászoknak adják ki magukat. A toborzáshoz széles körben ismert és kedvelt toborzási platformokat használtak; többek között LinkedInen, az Upworkön, a Freelancer.com-on, a We Work Remotetelyn, a MoonlightWorkön, a Crypto Jobs Listen tettek közzé álláshirdetéseket. Emellett az ígéretes jelölteket proaktívan, közvetlenül is megkeresték állásajánlattal.

Ha valaki reagált a megkeresésre, megpróbálták rávenni, hogy töltse le egy szoftverprojekt alkotóelemeit. A letöltött kódban természetesen ügyesen el voltak rejtve rosszindulatú kódrészletek. A kutatók több ilyen kódot azonosítottak, például a BeaverTailként ismert információlopó és letöltő programot, ami ráadásként telepített a fertőzött gépekre egy moduláris Python-alapú kémprogramot, az InvisibleFerretet, valamint egy backdoort.

A feladat nem volt túlságosan nehéz: le kellet fordítani a kódott, futtatni a programot, és jelenteni a felfedezett problémákat. A megkeresés hitelét azzal növelték, hogy a kódot olyan népszerű repository szolgáltatásokon keresztül terjesztették, mint a GitHub, a GitLab vagy Bitbucket.

Mint az ESET kutatói megjegyzik, a módszer még csak nem is ismeretlen. Az észak-koreaiak régóta használnak hamis álláshirdetéseket. Azokkal szerezzenek olyan kapcsolatokat, melyeken keresztül kémkedhetnek, vagy hatékonyan juttathatnak célba kártékony kódokat.

A DeceptiveDevelopment támadásban használt rosszindulatú kódokkal egyrészt kriptovaluta walletek hozzáférési adatait igyekeztek begyűjteni, másrészt (táv)felügyeleti szoftvereket telepítettek windowsos, linuxos és macOS-es eszközökre. A támadó szoftverek többek között naplózták a billentyűleütéseket, ellophatták a vágólapra másolt adatokat, fájlokat és könyvtárakat tölthettek el FTP-n keresztül stb.

Mint azzal korábban is foglalkoztunk, Észak-Korea meglehetősen találékony a pénzszerzést illetően. Ha kell, eladja fejlesztőit jó pénzért nyugati cégeknek (ahol azok még kémkedhetnek is), ha pedig van rá mód, pénzügyi cégek, pontosabban a cégek ügyfelei zsebét könnyíti meg. Biztonsági kutatók szerint az eddigi legnagyobb, 1,5 milliárd dolláros kriptovaluta-lenyúlás mögött is Kim Dzsongun kiberkatonái állhatnak.