Goldbackdoor wykrada informacje z komputerów dziennikarzy. Stoi za tym Korea Północna

Jak informuje platforma Threat Post badacze z firmy Stairwell, zajmującej się cyberbezpieczeństwem, podjęli działania w następstwie raportu południowokoreańskiego serwisu NK News, który ujawnił, że pochodząca z Korei Północnej grupa hakerów, znana jako APT37 wykradała informacje z prywatnego komputera byłego urzędnika południowokoreańskiego wywiadu.

Czytaj także: Co 10. Polak nie wie jak rozpoznać próbę e-oszustwa

Dziennikarze na celowniku

Jak wynika z raportu, podmiot stanowiący zagrożenie - znany również jako Ricochet Collima, InkySquid, Reaper lub ScarCruft - próbował podszyć się pod NK News i rozprzestrzeniał coś, co wyglądało na nowe złośliwe oprogramowanie, próbując dotrzeć do południowokoreańskich dziennikarzy, którzy wykorzystywali wspomnianego urzędnika jako źródło.

Eksperci ze Stairwell odkryli szczegóły dotyczące złośliwego oprogramowania o nazwie Goldbackdoor. Według ustaleń, jest ono prawdopodobnie następcą stosowanego już wcześniej kodu Bluelight.

- Złośliwe oprogramowanie Goldbackdoor w dużym stopniu pokrywa się technicznie z Bluelight – podali badacze. - Te podobieństwa potwierdzają przypisanie Goldbackdoor do APT37.

Celem obecnych ataków są dziennikarze zajmujący się problematyką Korei Północnej. Jak zauważyli badacze Stairwell, pracownicy mediów są cennym obiektem dla wrogich rządów i często stają się obiektem ataków cyberszpiegowskich.

- Dziennikarze często zbierają informacje od wielu osób - czasami również tych z dostępem do poufnych informacji – zaznaczają analitycy Stairwell. - Zaatakowanie dziennikarza może zapewnić dostęp do bardzo wrażliwych informacji i umożliwić dodatkowe ataki na jego źródła.

Czytaj także: Janusz Cieszyński o zagrożeniu cyberatakami: na ten moment nie odnotowujemy groźnych incydentów

Obecna kampania rozpoczęła się 18 marca br. Goldbackdoor jest wieloetapowym złośliwym oprogramowaniem, co umożliwia hakerom zatrzymanie procesu wdrażania kodu po zainfekowaniu pierwszych celów.

To złośliwe oprogramowanie wykorzystuje dostawców usług w chmurze do odbierania poleceń od cyberprzestępców i pozyskiwania danych. Próbka szczegółowo przeanalizowana przez badaczy korzystała z interfejsów API Microsoft OneDrive i Graph, natomiast dodatkowa zidentyfikowana próbka o skrypcie SHA256 korzystała z Google Drive.

W złośliwym oprogramowaniu osadzono zestaw kluczy API używanych do uwierzytelniania się na platformie chmury obliczeniowej Microsoft Azure i pobierania poleceń do wykonania - twierdzą badacze.

Zgodnie z opisem ataki rozpoczynają się od wiadomości phishingowej, która prowadzi ofiarę do spreparowanej strony zawierającej ponoć informacje na temat Korei Północnej. W korespondencji znajduje się link do pliku ZIP, który z kolei po pobraniu pozwala hakerom na instalację Goldbackdoor i kradzież wybranych zasobów.

Na razie nie ustalono, ile informacji i jakiego rodzaju dane od dziennikarzy zostały pozyskane przez APT37. Eksperci zaznaczają jednak, że sterowana przez północnokoreański reżim trwa nadal.