Az In(ter)ception nevű kiberkémkedési akcióban a támadók állásajánlat ígéretével keresték meg a kiszemelt célpontokat a LinkedIn közösségi oldalon keresztül, olyan neves cégek HR-eseinek adva ki magukat, mint például a General Dynamics vagy a Collins Aerospace – írja közleményében a kiberbiztonsági cég.
Leveleikhez egy átlagosnak tűnő PDF fájlt is csatoltak, melyet megnyitva egy kártevő kód települt észrevétlenül a címzettek számítógépére. Több jel is arra utal, hogy a támadások az 2009 óta ismert, észak-koreai Lazarushoz köthetők. A társaság neve a Sony 2014-es meghackelésével, és a WannaCry zsarolóvírus 2017-es kirobbanásával is összefüggésbe hozható.
Jean-Ian Boutin, az ESET fenyegetéskutatási vezetője szerint két módszert is alkalmaztak. A kártevő fájlokat vagy közvetlenül a LinkedIn levelezőjén keresztül vagy egy OneDrive linket tartalmazó e-mailben küldték el. A másik módszerre gondosan felkészültek a hackerek, hiszen a LinkedIn profiljukkal azonos e-mailfiókot is létrehoztak a látszat kedvéért. Az üzenet egy nagyon hiteles állásajánlatról szólt, látszólag egy releváns szektor jól ismert vállalatától érkezett a megkeresés.
A kibertámadás rendkívül összetett és jól megtervezett volt. Miután a címzett megnyitotta a csatolt fájt, egy látszólag ártalmatlan PDF dokumentum jelent meg, amely a hamis állásajánlattal kapcsolatos elérhető fizetéseket tartalmazta.
A kártevő kódok rendszerbe jutását követően a támadók legitim szoftvernek álcázott, saját fejlesztésű szoftverekkel és nyílt forráskódú eszközök módosított változataival támadták áldozataikat, illetve a Windows előre telepített szolgáltatásait is a saját céljaik eléréséhez használták.
A hackerek végig a törvényesség látszatát próbálták fenntartani, ezért is célozták áldozataikat a LinkedIn felületén keresztül, hiszen ez a hivatalos közösségi oldal kevésbé ad okot a gyanakvásra. Ezen felül, a hitelesség kedvéért, még valódi elektronikus aláírást is alkalmaztak, ami szintén eloszlatja a laikus LinkedIn felhasználók kételyeit.
Az adatok mellett pénzt is próbáltak kicsikarni
Az ESET kutatói által felfedezett bizonyítékok alapján a támadók a kémkedés mellett pénzt is próbáltak kicsikarni az áldozatok partnereitől. A sértettek levelei között olyan e-maileket kerestek, amelyek még ki nem egyenlített, függőben lévő számlákról szóltak.
Ezt követően hamis e-mail címekről felvették a kapcsolatot az ügyfelekkel, és felszólították őket, hogy sürgősen fizessék be az elmaradt összegeket – természetesen a saját bankszámlájukra. Szerencsére néhányan gyanút fogtak, és jelezték az esetet az érintett vállalatnak, így megakadályozták a támadási kísérletet.
(Kiemelt kép: GettyImages)
