Google waarschuwt voor Noord-Koreaanse hackaanval op beveiligingsonderzoekers

Volgens Googles Threat Analysis Group is er in de afgelopen maanden een hackcampane opgezet die gericht is op beveiligingsonderzoekers. Noord-Koreaanse staatshackers zouden achter de campagne zitten.

De staatshackers hebben het gemunt op specifieke beveiligingsonderzoekers en gebruiken vormen van social engineering. De groep heeft een blog opgezet over kwetsbaarheden en nepaccounts aangemaakt op Twitter, die zich voordoen als beveiligingsonderzoekers. Hiermee wil de groepering volgens Google TAG geloofwaardigheid opbouwen.

Beveiligingsonderzoekers die doelwit zijn, krijgen een verzoek om samen te werken aan onderzoek naar een kwetsbaarheid. De hackers sturen vervolgens een Visual Studio Project naar het doelwit, met daarin broncode voor het misbruiken van een kwetsbaarheid, maar ook een extra dll die malware bevat en uitgevoerd wordt via Visual Studio Build Events.

Op hun blog publiceren de staatshackers artikelen waarin ze claimen exploits voor kwetsbaarheden te tonen. Volgens Google is in ieder geval één daarvan nep. Dat gaat om een exploit voor CVE-2021-1647, een recent gepatchte kwetsbaarheid in Windows Defender. De staatshackers zetten op 14 januari een filmpje op Twitter en YouTube waarin ze zogenaamd een exploit toonden. In reacties op die filmpjes werd ook al door anderen opgemerkt dat er geknoeid was met de video en dat er geen werkende exploit werd gedemonstreerd.

Volgens Google zijn er ook verschillende beveiligingsonderzoekers gecompromitteerd door enkel het blog te bezoeken. Zij volgden een Twitter-link die verwees naar een artikel en kort daarna was hun systeem geïnfecteerd en werd er door de malware contact gelegd met een command and control-server. De slachtoffers zouden systemen met alle Windows 10-updates en de nieuwste Chrome-browser hebben gebruikt. Google zegt nog niet te weten hoe die aanvallen succesvol konden zijn. Mogelijk gebruikten de aanvallers hiervoor een nog onbekende kwetsbaarheid.

Google heeft een overzicht gepubliceerd van accountnamen die verbonden zouden zijn aan de hackcampagne. De aanvallers gebruiken verschillende platforms om in contact te treden met beveiligingsonderzoekers, waaronder Twitter, LinkedIn, Telegram, Discord, Keybase en e-mail. Tot nu toe zijn alleen onderzoekers met Windows-systemen aangevallen, stelt Google.

Google TAG waarschuwt voor hackaanval op beveiligingsonderzoekers

Reacties (26)

The Zep Man

Google
Hackers
Networking en security
Malware

26 januari 2021 08:40

Zij volgden een Twitter-link die verwees naar een artikel en kort daarna was hun systeem geïnfecteerd en werd er door de malware contact gelegd met een command and control-server. De slachtoffers zouden systemen met alle Windows 10-updates en de nieuwste Chrome-browser hebben gebruikt. Google zegt nog niet te weten hoe die aanvallen succesvol konden zijn. Mogelijk gebruikten de aanvallers hiervoor een nog onbekende kwetsbaarheid.

Als dat zou kloppen, dan zou het een serieuze drive-by download kwetsbaarheid zijn. Ben benieuwd wat hieruit komt.

De staatshackers hebben het gemunt op specifieke beveiligingsonderzoekers en gebruiken vormen van social engineering.

Het is een combinatie van social engineering (laat iemand een site bezoeken) en technische kwetsbaarheden (drive-by download). Zonder één van beide aspecten zou de aanval falen.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 22:58]

Rob Coops

Hackers

@The Zep Man • 26 januari 2021 11:29

Een drive-by-download, of zegt google met een goede reden dat ze proberen een goede reputatie op te bouwen en voorbeelden van een hack aan bieden etc. Ik vermoed dat het een kwestie is van eerst je reputatie opbouwen vervolgens een echt voorbeeld posten en dan nog een en dan na een paar andere voorbeelden weer een die toevallig een hack bevat. Als je reputatie eenmaal redelijk goed is zullen ook beveiligingsonderzoekers minder snel geneigd zijn de informatie die je deelt als mogelijk gevaarlijk te zien.

Een drive-by-download is heel erg zeldzaam en daar zijn heel erg veel grotere vissen mee te vangen dan beveiligingsonderzoekers die je uiteindelijk voornamelijk nieuwe hacks kunnen bieden. Het lijkt me dan ook sterk dat Noord Korea zo'n extreem waardevolle aanval zou gebruiken voor een relatief weinig waardevol target als een beveiligingsonderzoeker.

De beschrijving hier boven heeft het ook over een vscode project met een foute dll, ik kan me dan ook helemaal voorstellen dat een aantal beveiligingsonderzoekers simpel weg niet helemaal de juiste manier van werken hebben gevolgd en dit project hebben gedownload en gedraaid zonder het eerst eens goed te onderzoeken. Dat lijkt me een heleboel logischer dan een extreem waardevolle zero day drive by download kwetsbaarheid inzetten om andere hacks te kunnen stelen.

DeArmeStudent 26 januari 2021 08:41

Als ik beelden vanuit Noord-Korea zie, zie ik meestal alleen oude computers staan uit de jaren 90. Voor de gewone man is het in Noord-Korea onmogelijk om een moderne pc of smartphone te kopen. Maar staatshackers blijken zulke moderne meuk, voorzien van de meest recente updates, te hebben, dat ze zelfs google's en Windows beveiliging kunnen omzeilen?

Iets zegt me dat het geld niet helemaal eerlijk verdeeld wordt daar.

Standeman @DeArmeStudent • 26 januari 2021 09:27

Ken jij een land waar dat wel zo is dan?

SED @DeArmeStudent • 26 januari 2021 12:30

Staatshackers vormen een belangrijke bron van inkomsten voor NK.
Daarin investeren is dus heel zinvol.

-Elmer- 26 januari 2021 10:15

Wat een raar artikel dit en weet niet goed wat ik ervan moet denken. Waarom? Omdat ik me niet kan voorstellen dat er ook maar één zichzelf respecterende beveiligingsonderzoeker is die zelf Windows gebruikt. Als beveiligingsonderzoeker heb je vast een paar Windows VM’s draaien om mee te testen of als honeypot maar als daar een virus op komt lijkt het me niet dat je spreekt over ‘gecompromitteerd’. Dus over wie hebben we het? Wie zijn de gecompromitteerde beveiligingsonderzoekers’? Wie zijn daadwerkelijk het beoogde doelwit van deze groep?

_dirkjan @-Elmer- • 26 januari 2021 12:14

Er zijn voldoende onderzoekers die Windows gebruiken, zeker onderzoekers die focussen op het aanvallen van Windows systemen. Het testen van exploits gebeurt meestal in virtuele machines die verder niet gebruikt worden voor boeiende dingen, maar het onwikkelen van de exploit zelf met Visual Studio of uberhaupt het schrijven van software ga je niet iedere keer een nieuwe VM voor opzetten, dat doe je dan bijvoorbeeld in een development VM (of zelfs op je host OS). Als je dan een Visual Studio (Windows only IDE) project opent met een exploit om te testen, dan draait dat in dezelfde VM als waar mogelijk ook andere development projecten staan waar deze aanvallers in geinteresseerd waren.

Bux666 @-Elmer- • 26 januari 2021 11:16

Tot nu toe zijn alleen onderzoekers met Windows-systemen aangevallen, stelt Google.

Deze zin komt op mij ook vreemd over. Ik ken enkele lui bekend in dat wereldje, maar niemand gebruikt daar Windows als primair OS. Praktisch allemaal draaien ze Linux (Debian weet ik van 1). Zouden ze Windows nodig hebben, dan is dat of in een VM of op een aparte, speciaal ingerichte PC (honeypot).

Vexxon @Bux666 • 26 januari 2021 12:19

Google noemt ook heel graag het operating systeem van de concurrent

mutley69 26 januari 2021 21:12

NORK financiert zijn nukes en raketjes met malware en het oogsten van bitcoins. Schaf dat af - en 't is gedaan met Kim. Nog beter - de aarde en het millieu gaan gered worden door het niet verbraden van CO2 voor de generatie van virtueel waardeloos geld door gereken.

L0g0ff

26 januari 2021 08:38

Als die noord koreanen nou eens zouden stoppen met die wapens van ze, dan zouden de regels van omliggende landen versoepelen, zouden ze hun burgers weer fatsoenlijk eten kunnen geven en zouden ze net zo'n mooi land als zuid Korea kunnen worden.

Ik snap dat dit soort hacking en op andere manieren illegaal beschikbaar krijgen van geld hun enige methode is nu om überhaupt aan geld te komen maar dit systeem is gewoon niet houdbaar zo. En uiteindelijk trekt de burger daar aan het kortste eind.

mphilipp @L0g0ff • 26 januari 2021 08:53

Als die noord koreanen nou eens zouden stoppen met die wapens van ze

Tsja...dat zou je van de rest van de wereld ook kunnen zeggen. Alleen de VS al heeft aan de oorlogen in Azië en het Midden Oosten sinds 2001 $6,4 triljoen uitgegeven. Van dat geld hadden we alle armoedeproblemen in de wereld kunnen oplossen. Of in ieder geval de welvaart in de VS beschikbaar maken voor iedereen, goede gezondheidszorg, fatsoenlijke woningen etc. Maar nee, het moet naar wapens om invloed en macht te hebben in allerlei andere landen. Het is redelijk normaal om je eigen volk te laten verrekken en ook het leven van andere onschuldige burgers in verre landen miserabel te maken.

Als we allemaal naar John Lennon zouden luisteren en het voor elkaar kunnen krijgen om in vrede te lezen, kunnen alle legers opgedoekt worden en houden we heel erg veel geld over. Maar ja...you may say I'm a dreamer zei John al...dus droom er maar over.

Eonfge @L0g0ff • 26 januari 2021 08:52

Dat is natuurlijk makkelijk gezegd, terwijl wij zelf op een stapel kernwapens zitten. Al 60 jaar staan er bommenwerpers F16s op Volkel klaar om onze buurlanden in as te veranderen, en dat geeft ons veel politieke bewegingsvrijheid. Dat wil Noord Korea ook.

Daarnaast, zodra onze kernbommen op zijn, hebben we de VS , UK, of Frankrijk om op terug te vallen, en die zijn ook niet onbescheiden bewapend.

Edit. Bron want sommige staan te klapperen met de oren bij het horen van kernwapens:
https://www.omroepbrabant...ggen-kernwapens-in-volkel

[Reactie gewijzigd door Eonfge op 24 juli 2024 22:58]

servies @Eonfge • 26 januari 2021 09:54

Je weet dat de eerste vlucht van de F16 in 1974 was.... dus die 60 jaar daarom al niet. Als ik het mij goed herinner zijn die kernwapen ook pas sinds de jaren 80 in Nederland, maar hier kan ik mij in vergissen...
Daarnaast hebben wij ook nog eens geen zeggenschap over die kernwapens (als ze er überhaupt nog zijn). Ze zijn niet van ons, ze zijn van de USA...
En om nou de situatie van de Noord Koreaanse bevolking te vergelijken met de Nederlandse

...
Sorry, maar dan spoor je niet... Jij kunt tot op zekere hoogte doen en laten wat je wilt. De gemiddelde NK burger heeft alleen maar te doen wat hem wordt opgedragen, inclusief gewoon doodgaan van de honger...

Rob Coops

Hackers

@servies • 26 januari 2021 11:21

Ja de kernwapens zijn er zeker nog wel. Er is geen enkel bewijs dat ze ooit zijn weggehaald terwijl er zeer veel bewijs is dat ze er nog gewoon liggen.
De wapens zijn in naam van de VS maar worden door Nederland beveiligd en liggen opgeslagen op een Nederlandse basis waar geen Amerikaanse zeggenschap is. Ja ze zijn door de Amerikanen daar geplaatst en ze zijn in naam van de VS maar als Nederland dat zou willen dan zijn ze inzetbaar en zal Amerika vast helemaal niet blij zijn achteraf maar als ze eenmaal gedropt zijn is dat nog al laat...
Ook heeft Nederland dankzij de NATO de beschikking over een enorm kernwapen arsenaal dat ze wel eens waar niet zelf kunnen inzetten maar dat volgens internationale afspraken er wel is om het land te beschermen tegen aanvallen van buitenaf.

Deze manier van ultieme vergelding helpt een heleboel om je op internationaal niveau een stuk vrijer te voelen en om veel minder te vrezen te hebben van eventueel vijandige buren.

@Eonfge maakt geen vergelijking tussen de Nederlandse bevolking en de Noord Koreaanse maar tussen de mogelijkheid voor een land om internationale politiek te bedrijven op een heel andere manier dan wanneer je constant moet vrezen dat je buren even je land van nieuwe leiders komen voorzien.
Dat is een heel groot verschil, er zijn maar zeer weinig landen die dit soort angsten hebben en allemaal hebben ze in middels kernwapens of zijn ze hard op weg om die te bemachtigen. Iran heeft ze nog niet maar zal ze binnen kort wel gaan testen ook al proberen zeer veel landen dat te voorkomen (daar zijn allerlei geopolitieke redenen voor maar de belangrijkste is olie en de toegang daar toe) Israel maar ook Pakistan en India hebben kernwapens omdat ze die nu eenmaal nodig hebben om hun boze buur buiten de deur te houden.
En dat is precies wat Noord Korea doet en waarom voor hen er niets belangrijker was dan een kernwapen bemachtigen. Nu ze die eenmaal hebben en in theorie die ook in Japan en zelfs delen van Amerika kunnen inzetten moeten deze landen of ze het nu leuk vinden of niet wel onderhandelen met Noord Korea. Het risico dat het de Noord Koreanen zou lukken om een bom op silicon valley te droppen of LA een stukje meer lebensraum te bezorgen is genoeg reden voor zelfs Amerika om te onderhandelen met het hele kleine Noord Korea en om die reden hebben zij de kernbom gewoon nodig en zullen ze niet stoppen met de ontwikkeling van deze afgrijselijke wapens. Sterker nog het zou men niets verbazen als ze binnen niet al te lange tijd een nieuwe ondergrondse test uitvoeren gewoon om de druk weer een beetje op te voeren

Liberteh @Eonfge • 26 januari 2021 14:07

Die bommen zijn van de VS. Nederland mag hier niet eens aanzitten.
Daar zijn dus Amerikaanse straaljagers en Amerikaans militair personeel dat 24/7 klaar staat om dit te gebruiken. Het enige wat NL doet is de transport van bunker naar vliegveld om ze er onder te kunnen hangen.

Mensen staan al te klapperen bij het feit dat ze hier liggen inderdaad. De meeste zijn niet op de hoogte hoe het echt werkt.

Waarom denk je dat we de JSF "aangeschaft" hebben overigens?

Thomas H @UitgelogdeUser • 26 januari 2021 09:45

Ja (nou ja in 2013 nog wel tenminste

)
https://www.nu.nl/binnenl...ag-kernwapens-volkel.html

UitgelogdeUser @Thomas H • 26 januari 2021 10:02

Ja precies maar het berichtje van @Eonfge suggereerde dat het onze kernbommen zijn.

Dennisdn @UitgelogdeUser • 26 januari 2021 10:22

In theorie niet. Ik heb mij eens door iemand die het kan weten laten vertellen dat het stukje Volkel waar ze "niet" liggen, officieel een stukje VS grondgebied is.

vinkjb @L0g0ff • 26 januari 2021 12:38

Helaas leeft het regime op angst en dreiging. Zolang men het volk maar voorhoudt dat iedereen maar vooral de USA een bedreiging is blijft het regime bestaan.

Bertus12 @Reinier 182 • 26 januari 2021 11:05

Gosh, meen je dit nou, waar heb je deze "feiten" gevonden ?, dit zou je kunnen vergelijken met de "bevrijding" van de oostblok landen net na de tweede wereldoorlog door Rusland.

https://nl.wikipedia.org/wiki/Koreaanse_Oorlog

Noord Korea verdedigd zich tegen Amerika die het land heeft aangevallen en Zuid Korea bezet. Niet Noord Korea is agressief maar Amerika viel aan en nog steeds. Steeds geeft Amerika andere landen de schuld die zich verdedigen tegen hun agressie. Trump was bezig om vrede en een nieuwe start te maken wat nu helemaal over is.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: