朝鲜黑客组织被发现冒充安全研究人员对真正的安全研究人员进行社工
社工很常见但假冒安全研究人员对真正的安全研究人员进行社工倒是不常见,但现实中确实已经发生类似的桥段。
日前谷歌旗下安全实验室的安全研究人员发现,朝鲜黑客组织冒充安全研究人员对真正的安全研究人员进行社工。
就目前调查和溯源来看确实有些安全研究人员上当受骗,而黑客组织使用的这些手段在业界也只能说是非常新颖。
如果不是谷歌研究人员发现的话可能会有更多安全研究人员被骗,在这里也提醒大家对于网上的信息要保持谨慎。
注:这里的社工指的是社会工程学,在计算机领域社会工程学指的是通过合法手段与目标交流收集信息或渗透等。
黑客建立的虚假白帽账户
安全研究人员也被称为白帽黑客,白帽黑客指的是利用技术手段进行攻防研究但目的不是破坏而是提高安全性的。
我们常说的黑客更多指的是黑帽黑客,黑帽黑客利用自身掌握的技术手段恶意破坏目标计算机或系统盗窃数据等。
原本白帽黑客与黑帽黑客是对立的阵营,没想到朝鲜黑客组织在推特上冒充白帽黑客试图与白帽黑客联系和交流。
但其最终目的是取得白帽黑客的信任后向其发送恶意软件,达到攻击白帽黑客计算机并收集相关漏洞和信息目的。
为达到以上目的,朝鲜黑客组织在推特上建立多个账户,这些账户的介绍均表示自己是安全研究人员吸引人关注。
同时建立的这些角色还都有自己独立安全博客介绍某些漏洞的研究工作,当然这些研究内容其实都是盗窃别人的。
经过这么一番操作后,后续只需要进行维护即可,例如不定时发布安全博客、推文或者转发业界关注的安全漏洞。
在扩大知名度后本身就能吸引部分白帽黑客关注和信任,毕竟安全圈子不算大而且内容更专业更适合同行间交流。
所以黑客与研究人员拉近关系然后声称是否愿意合作研究某个漏洞,正常情况下多数研究人员可能都会同意合作。
当研究人员同意合作时就会收到黑客发来的VisualStudio项目,表面上看这是用来研究某些漏洞的项目和代码库。
但实际上里面包含恶意软件 , 当研究人员运行后恶意软件会立即与C&C服务器连接并接收黑客下发的各种指令等。
而黑客的目的可能是想要窃取研究人员正在研究的漏洞,用虚假的项目文件准备空手套白狼偷偷窃取真漏洞信息。
谷歌安全专家还发现这些黑客账户里还有伪造漏洞利用视频的,按理说伪造利用视频应该用来提升自己可信度的。
例如其中某个账号发布CVE-2021-1647漏洞利用视频,这个漏洞是Microsoft Defender的本月初时已经被修复。
黑客制作的演示视频实际上并没有成功利用漏洞毕竟已经修复,所以在原视频下评论下不少研究人员质疑其过程。
这个黑客组织还利用建立的其他虚假账号转发视频称不是假冒的试图混淆视听,但这些行为本身就是为吸引关注。
值得注意的是尚不清楚这个黑客组织是否真披露过真实存在的未被修复的漏洞,目前发现的视频确定是被伪造的。
基于社工问题谷歌认为有必要给安全研究人员提出更多建议,尤其是研究漏洞的计算机最好用虚拟机或者隔离等。
这样可以确保即便出现恶意软件也只能破坏虚拟机不会感染主要计算机,同时披露漏洞应该与软件开发商们联系。
在无法确定对方是否真是研究人员的情况下如果向其披露漏洞的话,则可能导致漏洞未修复就被黑客直接去利用。
所以专门研究安全问题的研究人员现在也成为黑客目标,所以在日常挖洞过程中也要注意安全尤其是个人数据等。