Programiści z sektora kryptowalut na celowniku północnokoreańskich hakerów

Cyberprzestępcy coraz częściej atakują urządzenia z systemem macOS od Apple. Celem hakerów są programiści poszukujący pracy w firmach z sektora kryptowalut. Śledztwo zespołu badaczy Palo Alto Networks Unit 42 wykazało, że ostatnie tego typu ataki mogły być przeprowadzone w imieniu reżimu Korei Północnej.

Analitycy z Unit 42 od Palo Alto Networks już w zeszłym roku informowali o podobnych praktykach cyberprzestępców skierowanych przeciwko osobom poszukującym pracy^[1]. Wówczas atak socjotechniczny polegał na podszywaniu się hakerów pod rekruterów. Tym razem badacze odkryli, że złośliwe oprogramowanie o nazwie RustDoor^[2] podszywa się pod aktualizację aplikacji na macOS.

Ślady po raz kolejny prowadzą do Korei Północnej

Choć w tej chwili pozostaje niejasne, która z północnokoreańskich grup APT stoi za tą operacją, można powiązać zaobserwowane aktywności ze znanymi schematami wykorzystywanymi przez grupy działające na zlecenie reżimu Korei Północnej.

Atakujący użyli backdoora RustDoor^[3], który był już przypisywany północnokoreańskiemu aktorowi zagrożeń^[4], którego znamy jako Alluring Pisces. Nie jest jednak jasne, czy to narzędzie jest unikalne dla tej grupy, czy też używają go również inne północnokoreańskie grupy APT.

W demaskowaniu działań cyberprzestępców ważna jest tak zwana wiktymologia, czyli zestaw charakterystycznych cech wyróżniających ofiary ataków. Prawidłowo zidentyfikowany profil ofiary pozwala szybciej dotrzeć do źródła ataków. Zaobserwowaliśmy, że wszystkie ofiary były twórcami oprogramowania w branży kryptowalut. To pokazuje, jakie cele obierają obecnie cyberprzestępcy motywowani finansowo, jak również politycznie – powiedział Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Palo Alto Networks w Europie Środkowo-Wschodniej.

Najnowszy atak jest o tyle niebezpieczny, że bardzo łatwo usypia czujność i wykorzystuje rutynę pracy programistów, aby przemycić do ich środowiska pracy złośliwe oprogramowanie. Tym razem cyberprzestępcy zamaskowali swoje działanie jako aktualizację VisualStudio – popularnego wśród programistów edytora kodu od Microsoft. Działanie socjotechniczne wykorzystujące autorytet znanej aplikacji pomaga cyberprzestępcom łatwiej skłonić użytkownika do zainstalowania złośliwego oprogramowania pod pozorem aktualizacji.

Jak działa KOI Stealer i dlaczego jest tak niebezpieczny?

Początkowo Koi Stealer zbiera informacje rozpoznawcze z zainfekowanego urządzenia, takie jak uniwersalny unikatowy identyfikator sprzętu, informacje o użytkowniku, lista zainstalowanych aplikacji czy lista procesów. Następnie pobiera poufne dane z zaatakowanych urządzeń. Podobnie jak w przypadku najnowszego wariantu dla systemu Windows^[5], wariant dla macOS koncentruje się głównie na kradzieży różnych portfeli kryptowalut.

Kiedy Koi Stealer działa w tle, gromadzi i wyprowadza dane z komputera na zewnątrz. Podczas tej fazy kopiuje wiele ważnych plików w tym portfele kryptowalutowe, dane przeglądarek, informacje z OpenVPN czy pliki użytkownika i konfigurację Steam oraz Discord.

Specjaliści z Palo Alto Networks zalecają szczególną ostrożność podczas instalowania aktualizacji systemu oraz zewnętrznych aplikacji. Większą czujność powinno również wzbudzić niekontrolowane wyciszenie dźwięków w komputerze. Okazuje się bowiem, że to złośliwe oprogramowanie wykorzystuje AppleScript do wyciszania głośności systemu. Może to zrobić, aby ukryć kolejne polecenia, które kopiują wiele plików, co może uruchamiać dźwiękowe powiadomienia.

Ostatnie odkrycia naszych analityków ujawniają niepokojącą eskalację operacji cybernetycznych Korei Północnej. Wykracza ona poza tradycyjnie obierane cele takie jak system operacyjny Windows. Najnowsza kampania wymierzona w system macOS jest o tyle niebezpieczna, że została skierowana w szczególności do twórców oprogramowania w branży kryptowalut, zwiększając ryzyko dla instytucji finansowych i firm technologicznych. Nieustannie zachęcamy organizacje do proaktywnego i wielowarstwowego podejścia w obliczu takich zagrożeń i inwestowania w szkolenia z zakresu inżynierii społecznej. To bardzo ważne zwłaszcza w kontekście rozwijających się modeli językowych, które już teraz wspierają cyberprzestępców w tworzeniu przekonujących scenariuszy socjotechnicznych – dodaje Wojciech Gołębiowski.

Koi Stealer to nieudokumentowany wcześniej wariant złośliwego oprogramowania, który prawdopodobnie jest wykorzystywany przez cyberprzestępców z Korei Północnej, aby infekować systemy macOS. Sprawa jest o tyle istotna, że znaczna grupa programistów korzysta na co dzień z urządzeń Apple, co zwiększa powierzchnię ataków, które do tej pory dotyczyły głównie użytkowników Windows.

Kampania ta ujawnia ryzyko, na jakie narażone są organizacje na całym świecie w związku ze skomplikowanymi atakami socjotechnicznymi mającymi na celu infiltrację sieci, kradzież poufnych danych i kryptowalut. Ryzyko to wzrasta, gdy sprawcą jest podmiot zagrażający państwu narodowemu, w porównaniu do cyberprzestępców motywowanych wyłącznie finansowo.

^[1] Contagious Interview Archives – Unit 42

^[2] New RustDoor macOS malware impersonates Visual Studio update

^[3] RustDoor macOS Backdoor Targets Cryptocurrency Firms with Fake Job Offers

^[4] BlueNoroff Hidden Risk | Threat Actor Targets Macs with Fake Crypto News and Novel Persistence