Mnohí by čakali, že s technologickým pokrokom bude klesať počet pokusov o kybernetické podvody, nakoľko významne ovplyvňuje aj oblasť bezpečnosti. Zdá sa však, že sa deje presný opak. Netreba totiž zabúdať na to, že z technologického pokroku dokážu ťažiť aj zákerní útočníci. Práve vďaka nemu dokážu realizovať čoraz komplexnejšie, ťažšie rozpoznateľné, a teda aj nebezpečnejšie kampane, ako je napríklad tá, na ktorú v tlačovej správe aktuálne upozorňuje spoločnosť ESET.
Výskumníci z tejto renomovanej firmy totiž v priebehu minulého roku zaznamenali sériu škodlivých aktivít, pri ktorých sa útočníci vydávajú za tzv. recruiterov, ktorí lákajú na falošné pracovné ponuky, predovšetkým vývojárov softvéru. Následne sa obetiam snažia ponúknuť softvérové projekty, ktoré v sebe ukrývajú škodlivý kód schopný kradnúť citlivé informácie. Výskumníci tieto praktiky označili ako DeceptiveDevelopment.
Zaujímavosťou je, že odborníkom sa podarilo nájsť prepojenia týchto aktivít na Severnú Kóreu, avšak v súčasnosti sa nepripisujú žiadnej konkrétnej APT skupine.
Ako útok prebieha?
Metóda podvodu, ktorú podvodníci aplikujú, nesie označenie spearphishing a jej cieľom, ako sme spomenuli, je kradnúť citlivé dáta, ako napríklad prihlasovacie údaje z prehliadačov a správcov hesiel. Zasiahnuť ale môžu aj do peňaženiek s kryptomenami. A žiaľ, výskumníci zistili, že obete tohto podvodu sú aj na Slovensku.
Matěj Havránek, výskumník spoločnosti ESET, ktorý objavil a analyzoval kampaň DeceptiveDevelopment, ozrejmil, že v rámci falošného pracovného pohovoru útočníci požiadajú svoje obete, aby absolvovali test kódovania. Môže ním byť napríklad pridanie funkcie do existujúceho projektu, pričom súbory potrebné na splnenie úlohy sú zvyčajne umiestnené na súkromných úložiskách na platforme GitHub alebo iných podobných platformách. Ako už asi tušíte, tieto súbory sú infikované škodlivým softvérom, čo znamená, že ich stiahnutím sa daný počítač kompromituje.
Útočníci sa zameriavajú na vývojárov softvéru v systémoch Windows, Linux a MacOS, pričom obete si nevyberajú na základe geografickej polohy. Ide im o objem, respektíve o čo najvyššiu pravdepodobnosť úspešného vylákania finančných prostriedkov a informácií, takže sa snažia kompromitovať čo najviac obetí.
Ako útok funguje?
DeceptiveDevelopment využíva predovšetkým dve rodiny škodlivého kódu, ktoré sú doručené v dvoch fázach. V prvej fáze zvanej BeaverTail (infostealer a downloader) kradne prihlasovacie údaje, ktoré extrahuje z databázy prehliadača obsahujúcej uložené prihlásenia.
V druhej fáze slúži ako downloader pre InvisibleFerret (infostealer, RAT), ktorý obsahuje komponenty spywaru a backdoor a je schopný stiahnuť legitímny softvér na vzdialenú správu a monitorovanie AnyDesk na činnosti po kompromitácii.
Podvodníci pôsobia dôveryhodne
Úspešnosti pôvodu napomáha aj to, že útočníci pôsobia ako dôveryhodní náboroví pracovníci – kopírujú profily existujúcich ľudí, v prípade potreby vytvárajú úplne nové profily. Potom buď priamo oslovujú svoje potenciálne obete na stránkach pre freelancerov či na hľadanie práce, alebo tam zverejňujú falošné pracovné ponuky.
Niektoré z platforiem, na ktorých dochádza k týmto interakciám, sú všeobecné platformy na hľadanie práce, zatiaľ čo iné sa zameriavajú predovšetkým na kryptomeny a blockchainové projekty, a teda viac zodpovedajú cieľom útočníkov. Medzi tieto platformy patria LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List.
Obete dostávajú súbory projektov buď priamo prostredníctvom prenosu súborov na stránke, alebo cez odkaz na úložisko ako je GitHub, GitLab alebo Bitbucket. Následne sú vyzvaní, aby si stiahli súbory, pridali funkcie alebo opravili chyby a nakoniec informovali náborového pracovníka. Zároveň dostanú pokyn, aby projekt spustili s cieľom otestovať ho – práve vtedy dochádza ku kompromitácii.
Útočníci často používajú šikovný trik, aby skryli svoj škodlivý kód. Umiestnia ho do inak neškodnej súčasti projektu, zvyčajne do backendového kódu, ktorý nesúvisí s úlohou zadanou vývojárovi. Tam ho pridajú ako jeden riadok za dlhý komentár. Týmto spôsobom sa presunie mimo obrazovku a väčšinou zostane skrytý.
Havránek považuje kampaň DeceptiveDevelopment za prírastok do širokej zbierky schém na zarábanie peňazí, ktoré využívajú aktéri napojení na Severnú Kóreu, pričom má zodpovedať pokračujúcemu trendu presunu pozornosti z tradičných peňazí na kryptomeny.
