И получали доступ к файлам компьютерах жертв.
Хакеры связывались с работниками обороных и аэрокосмических компаний Европы под видом HR-специалистов и отправляли им вредоносные файлы, позволяющие получить доступ к данным на их компьютерах. Об этом говорится в отчёте словацкой фирмы ESET, которая участвовала в расследовании.
Атаки проводились с сентябрь по декабрь 2019 года. Хакеры связывались с жертвами в LinkedIn и представлялись сотрудниками по набору персонала в крупные оборонные компании Collins Aerospace и General Dynamics.
После этого они предлагали жертвам контракты и выслали документы с информацией о вакансиях. В этих файлах содержался вредоносный код, который позволял хакерам скачать данные с компьютеров жертв.
Ниже проиллюстрирована схема работы хакеров. Жертва получает письмо в LinkedIn (иногда дополнительно использовали почту и OneDrive). В письме содержится файл с расширением LNK, при открытии которого запускается командная строка. Она открывает PDF-файл в браузере жертвы, в это же время в фоновом режиме командная строка создаёт папку, где сохраняет программу, позволяющую получить доступ к компьютеру.
Известно минимум о двух пострадавших компаниях, но их названия ESET не приводит. Также неясно, какую информацию удалось похитить.
Специалисты по кибербезопасности считают, что за атакой может стоять группировка Lazarus, хотя подтверждений этому нет. ESET связывает группировку с правительством Северной Кореи. Она ответственна за несколько крупных кибератак, в том числе на Sony Pictures Entertainment в 2014 году.