Как се хаква бизнес? С невнимателен администратор и обява в LinkedIn

Смятаната са създател на WannaCry престъпна групировка атакува фирма за криптовалута през звеното, което трябва да защитава киберсигурността ѝ - ИТ екипа

Невнимателен системен администратор, хванал се на LinkedIn фишинг, е станал причина за успешна атака срещу фирма, свързана с криптовалути (точното име и дейност не се споменава в анализа на F-Secure). Автори на тактиката за пробива са Lazarus Group (на тази организация се приписва глобалната атака, при която през 2017 г. криптовируса WannaCry за броени дни порази стотици хиляди компютри в над 150 държави по света).

Механика на атаката

Хакерите са получили достъпа до системите на компанията-жертва чрез обява за работа в LinkedIn. Тя е изпратена до личния профил на системен администратор в професионалната социална мрежа. Обявата е била от името на блокчейн компания, търсеща нов сисадмин с набор от умения, точно като на получателя за съобщението.

Обявата е включвала Microsoft Word документ, уж „защитен“ съгласно действащите в ЕС правила на GDPR. Отварянето на документа е активирало макрос, който е свалил зловреден код на устройството на потребителя и оттам се е разпространил върху цялата компания.

За обирането на портфейлите с криптовалута на жертвата е използвана модифицирана версия на Mimikatz

Една организация е толкова уязвима, колкото уязвимо е най-слабото й звено. В информационната сигурност най-уязвими са хората и хакерите много добре разбират това.

А сега, накъде, Lazarus Group?

Според анализаторите от F-Secure, групата ще продължи атаките си към организации, работещи с криптовалута, докато има изгода от това. Не се изключва възможността хаковете да разширят обхвата си и към самите доставчици – „копачите“ на криптовалута.

За мистериозната Lazarus Group се предполага, че стои зад атаки срещу банки от Югоизточна Азия и Европа през последните няколко години (сред най-значителните е тази срещу Централната банка на Бангладеш, при която бяха източени 81 млн. USD през 2016 г.). Явно, че свързваната със Северна Корея групировка диверсифицира дейността и портфейла си.

Позицията на LinkedIn

„Нашите екипи използват разнообразни автоматизирани технологии, комбинирани с обучен екип от анализатори, за да предпазят членовете ни от всякакви видове измамници. Прилагаме нашите политики, които са много ясни: създаването на фалшив акаунт или измамна дейност с цел въвеждане в заблуждение или лъжа на нашите членове е нарушение на Общите ни условия.“ (свободен превод)

Exit mobile version