Apie sėkmingą kibernetinės atakos, už kurios stovėjo Šiaurės Korėjos programišiai, atlaikymą, tinklaraščio įraše pranešė „Google“ grėsmių analizės grupės atstovas Adomas Weidemannas.
Ekspertas teigė, kad šį sistemos defektą jau nuo sausio 4 d. naudojo du atskiri kibernetinių nusikaltimų subjektai – „Operation Dream Job“ ir „Operation AppleJeus“. Abi šios grupės, įtariama, turi ryšių su Šiaurės Korėjos vyriausybe.
Kaip teigia „Google“ programišiai išnaudojo tuos pačius programinės įrangos pažeidžiamumus, tačiau tai darė skirtingai.
Programišiai taikėsi į JAV žiniasklaidą, IT, kriptovaliutų ir fintech pramonės šakas. „Google“ grėsmių analizės grupė pažymi, kad programišių taikinių galėjo būti ir už JAV ribų,
„Įtariame, kad šios grupės dirba tam pačiam subjektui su bendra tiekimo grandine, todėl naudojamas tas pats išnaudojimo rinkinys, tačiau kiekviena veikia pagal skirtingą užduočių rinkinį ir naudoja skirtingus metodus. Gali būti, kad kiti Šiaurės Korėjos vyriausybės remiami užpuolikai turi prieigą prie to paties išnaudojimo rinkinio“, – rašė „Google“ komanda.
Operacija „Dream Job“ buvo nukreipta į 250 žmonių iš 10 įmonių, kuriems buvo pateikti melagingi darbo pasiūlymai apsimetant „Google“, „Disney“ ir kitų bendrovių atstovais. Spustelėjus žmonėms atsiųstą nuorodą buvo aktyvinamas kenkėjiškų programų paketas.
Kita vertus, operacija „AppleJeus“ buvo skirta daugiau nei 85-iems kriptovaliutų ir „fintech“ bendrovių vartotojams.
„Programišiai pažeidė bent dvi teisėtas fintech įmonių svetaines, jose bandė paslėpti kenkėjiškų programų paketus, pasitelkiant „iframe“ kodą“, – rašoma „Google“ saugos tyrinėtojų pranešime.
„Google“ saugos grupė šią veiklą aptiko tik vasario 10 d. ir ją pataisė iki vasario vidurio. Bendrovė į savo saugaus naršymo duomenų bazę įtraukė visas nustatytas svetaines ir domenus, taip pat apie bandymus pranešė visiems tiksliniams „Gmail“ ir „Workspace“ naudotojams.