Álláshirdetésekkel okozott károkat a rettegett kiberbanda

​Biztonsági kutatók újabb, álláshirdetéseknek álcázott adathalász támadásokat lepleztek le. Egy neves kiberbanda állhat az akciók mögött.
 

Az In(ter)ception nevű kiberkémkedési akcióban a támadók állásajánlat ígéretével keresték fel a kiszemelt célpontokat a LinkedIn közösségi oldalon keresztül. Ennek során neves cégek HR-eseinek adták ki magukat. Leveleikhez egy átlagosnak tűnő PDF-fájlt is csatoltak, amelyet megnyitva egy kártékony kód települt észrevétlenül a címzettek számítógépére. 

Az ESET kutatói szerint több jel is arra utal, hogy a támadások a 2009 óta ismert, észak-koreai Lazarus csoporthoz köthetők. 

A csalók két módszert is alkalmaztak. Az ártalmas fájlokat vagy közvetlenül a LinkedIn üzenetküldőjén keresztül vagy egy OneDrive linket tartalmazó e-mailben küldték el. A másik módszerre pedig gondosan felkészültek a hackerek, hiszen a LinkedIn profiljukkal azonos e-mailfiókot is létrehoztak a látszat kedvéért.

"Az üzenetek nagyon hiteles állásajánlatról szóltak. Látszólag egy releváns szektor jól ismert vállalatától érkeztek a megkeresések"

- mondta Dominik Breitenbacher, a kutatás vezetője.

A kibertámadás rendkívül összetett és jól megtervezett volt. Miután a címzett megnyitotta a csatolt fájt, egy látszólag ártalmatlan PDF-dokumentum jelent meg, amely a hamis állásajánlattal kapcsolatos elérhető fizetéseket tartalmazta. Mindeközben a kártevő feltűnés nélkül települt az áldozatok számítógépére, és észrevétlenül megkezdte működését.  

Az ártalmas kódok feltelepítését követően a támadók legitim szoftvernek álcázott, saját fejlesztésű alkalmazásokkal és nyílt forráskódú eszközök módosított változataival támadták áldozataikat.

Adat és pénz

A biztonsági szakértők által feltárt bizonyítékok alapján a támadók a kémkedés mellett pénzt is próbáltak kicsikarni az áldozatok partnereitől. A sértettek levelei között olyan e-maileket kerestek, amelyek még ki nem egyenlített, függőben lévő számlákról szóltak. Ezt követően hamis e-mail címekről felvették a kapcsolatot az ügyfelekkel, és felszólították őket, hogy sürgősen fizessék be a tartozásukat - a csalók által nyitott - bankszámlákra. Szerencsére néhányan gyanút fogtak, és jelezték az esetet az érintett vállalatnak, így esetenként sikerült megelőzni a károkat.

"A felismerés, hogy az áldozatok hálózatait a támadók nemcsak az adatok kinyerésére, de pénzszerzésre is megpróbálták felhasználni, fel kell, hogy hívja a vállalkozások figyelmét a behatolások elleni erős védelem és a kiberbiztonsági képzések szükségességére. A munkavállalók oktatása segít abban, hogy felismerjék a mostani esethez hasonló, bizalmas céges adatok megszerzésére irányuló, pszichológiai manipulációktól (social engineering) sem mentes támadási kísérleteket"

- tette hozzá Dominik Breitenbacher.

Ahhoz, hogy megfelelően védekezni tudjunk az ilyen jellegű támadások ellen, érdemes megfogadni pár tanácsot a biztonságunk megőrzése érdekében:

• Szervezzünk minden munkavállalónk számára kiberbiztonsági oktatást, amely gyakorlati elemeket és valós szituációkat is tartalmaz. 
• A gyenge jelszavak potenciális biztonsági rést jelentenek a szervezet hálózatában a támadók számára. Keressük meg, és kezeljük ezeket a gyenge pontokat, valamint ahol csak lehet, alkalmazzunk többfaktoros hitelesítést.
• Használjunk olyan biztonsági megoldásokat, amelyek kiszűrik és megsemmisítik az adathalász üzeneteket. 
• Készítsünk közérthető biztonsági házirendet. 
• Lássuk el céges eszközeinket többrétegű, megbízható végpontvédelemmel, és használjunk központi menedzsment megoldásokat, amelyekkel a rendszergazdák könnyen áttekinthetik a hálózatot, és észlelhetik a potenciális veszélyforrásokat.