O Lazarus Hacker Group, que está associado às autoridades da RPDC, conduziu uma operação em grande escala do circuito fantasma – eles comprometeram centenas de sistemas em todo o mundo com o objetivo de roubo de informações secretas. Para isso, os atacantes clonaram o software legítimo com código aberto e introduziram bastidores na esperança de que os desenvolvedores e outras vítimas em potencial, principalmente trabalhando na indústria de criptomoedas, acidentalmente os usem e tornem seus carros vulneráveis. Projetos maliciosos espalhados por grandes plataformas, incluindo o Gitlab.
Fonte da imagem: altumcode / unsplash.com
O esquema foi descoberto por especialistas no campo da segurança cibernética do SecurityScorecard. Em novembro de 181, em novembro de 181, tornou -se vítimas de hackers principalmente do setor tecnológico europeu. Em dezembro, seu número aumentou para 1225 pessoas, incluindo 284 da Índia e 21 do Brasil. Em janeiro, 233 vítimas foram adicionadas ao seu número, incluindo 110 do setor tecnológico da Índia. Os cibercriminosos conseguiram sequestrar as contas de suas vítimas, tokens de autenticação, senhas e outras informações confidenciais.
Os repositórios clonados e alterados por hackers incluíram projetos como Codementor, Coinproperty, Web3 E-Store, gerenciador de senhas baseado em Python, além de outros aplicativos relacionados à criptomoeda e Web3, disseram a SecurityScorecard. Quando a vítima inconscientemente carregou e instalou esse apêndice, um backdor também foi instalado em seu carro, permitindo que os atacantes se conectem a ele, sequestam dados confidenciais e os enviem para seus recursos. Os servidores do grupo de controle (C2) que participam do esquema de circuito fantasma, como se viu, começaram a trabalhar em setembro – eles foram usados para se comunicar com sistemas infectados, entrega de software prejudicial e copiar dados roubados. Os especialistas não conseguiram descobrir “como os dados extraídos foram processados e qual infraestrutura foi usada para gerenciar esses servidores”.
Especialistas descobriram um sistema administrativo oculto localizado em cada servidor – forneceu um controle de ataque centralizado; O sistema foi escrito com base no React e Node.JS. Para ocultar a origem da campanha, os hackers do Lazarus Group usaram obstrução multicamada. Para ocultar a origem geográfica, a VPN foi usada e, na atividade prejudicial do nível proxy, foi misturada com o tráfego de rede inofensivo. Os servidores estavam localizados na infraestrutura da Stark Industries – especialistas em segurança de segurança descobriram que estavam conectados a pelo menos seis endereços norte -coreanos, um dos quais foi anteriormente associado a ataques de Lázaro à plataforma do codificador. Os dados roubados foram descarregados no armazenamento em nuvem do Dropbox.