Таким образом исследователей по кибербезопасности хотели заставить работать на КНДР.
Google раскрыл многомесячную кампанию по взлому хакеров со стороны КНДР. Для этого северокорейские хакеры создали поддельный вебсайт о хакерстве, ссылку на который распространяли в соцсетях.
Таким образом злоумышленники из КНДР хотели тайно завербовать исследователей по всему миру. Иногда схема оказывалась успешной — хакеров удавалось взломать благодаря уязвимостям «нулевого дня» в Windows и Chrome.
Чаще всего северокорейские хакеры использовали фейковые аккаунты из Твиттера и LinkedIn, чтобы добраться до исследователей. Они также публиковали ссылки на блог, где якобы анализировали публичные уязвимости и публиковали новые уязвимости «нулевого дня». Однако сайт оказался подделкой, а уязвимости — выдуманными: с помощью ресурса хакеры распространяли вредоносные файлы, через которые взламывали исследователей.
После публикации Google несколько исследователей рассказали, что оказались целями северокорейских хакеров. Некоторые из них получили вредоносный файл, но не стали его устанавливать, а запустили в виртуальной машине, поэтому их не взломали.
Основатель компании по кибербезопасности Hyperion Gray Алехандро Касерес заявил, что его всё же взломали. Хакеры связались с ним через Твиттер и прислали файл, в котором содержалось вредоносное ПО. Теперь Касерес предлагает 80 тысяч долларов любому, кто предоставит информацию о личности злоумышленников.
По данным Google, в некоторых случаях хакерам удавалось взламывать цели просто заставляя их посещать сайт с вредоносным ПО. При этом исследователи использовали последние версии Windows 10 и Chrome с актуальными патчами безопасности. Вероятно, хакеры воспользовались незадокументированными уязвимостями.
Один из используемых хакерами сайтов всё ещё работает, но теперь помечается в поиске Google как «опасный для посещения». При этом ссылками на него в Твиттере делились и сами исследователи, помогая взламывать коллег.