Severnokorejski hakeri napadaju preko Gugla
31. mart 2023.Severna Koreja dospeva u udarne vesti obično pretnjama nuklearnim oružjem i testovima raketa. Diktatura Kima Džonga Una i dalje se smatra jednom od najzatvorenijih zemalja na svetu. A u vreme pandemije kovida Severna Koreja se još jače izolovala. Većina ljudi u toj zemlji i dalje nema pristup slobodnim informacijama iz ostatka sveta, većini nije dozvoljen ni slobodan pristup internetu.
Pa ipak, Severna Koreja poslednjih godina postaje sve ozbiljnija kibernetička pretnja. Prema saznanjima zapadnih službi bezbednosti, severnokorejski režimski hakeri obavljaju kriminalne napade širom sveta, kibernetičkim napadima dolaze do informacija iz politike, industrije i nauke, kradu milionske vrednosti u kriptovalutama, možda i za finansiranje atomskog i raketnog programa.
Među najaktivnije severnokorejske hakerske grupe ubrajaju se „Kimsuky“, koja se naziva i „Velvet Chollima“ ili „Thallium“. Ona je aktivna od 2012. godine. Stručnjaci za kibernetičku bezbednost procenjuju da ti hakeri rade za severnokorejske državne institucije. Grupa „Kimsuky“, nazvana po jednoj i mejl adresi koju su ranije koristili hakeri, specijalizovala se za kibernetičku špijunažu. Napadaju pre svega osobe iz sveta politike i nauke, a zna se da im je u prošlosti cilj bio da dođu do dokumentacije južnokorejske vlade.
Očekuju se kibernetički napadi u Nemačkoj
Sada je nemačka Savezna služba za zaštitu ustavnog poretka (BfV), prema informacijama javnog servisa WDR, izričito upozorila na opasnost od mogućih hakerskih napada grupe „Kimsuky“ i u Nemačkoj. Po prvi put je ta nemačka tajna služba, zajedno sa južnokorejskom tajnom službom NIS, izdala zajedničko upozorenje kako bi upozorila potencijalne žrtve hakerskih napada u Nemačkoj.
„Aktivnosti karakterišu zloupotreba Guglovog pretraživača i App-Store-ponuđača protiv naučnika koji se bave međukorejskim sukobom“, navodi se u upozorenju BfV. „Prema procenama NIS i BfV, grupa je i prošlih godina napadala korejske i nemačke ustanove ciljanim i mejl porukama za tzv. spear-phishing.“ Može se očekivati da bi hakeri ubuduće mogli da napadaju i institute, odnosno organizacije koje se bave diplomatijom i bezbednosnom politikom, navodi se u dopisu BfV.
Napadi preko Guglovog veb-pretraživača
Hakeri „Kimsuky“ najčešće napadaju slanjem i mejl za takozvani spear-phishing, kažu u BfV. To su poruke koje izgledaju autentično, a prilagođene su tačno osobi kojoj su upućene. Cilj im je da ta osoba otvori link veb-stranice koja deluje autentično i da se tamo prijave. To su recimo veb-adrese goog1e.com umesto google.com, ili webb.de umjesto web.de, ili gnx.net umesto gmx.net. Nemačka služba upozorava i na dokumenta u atačmentu koja su označena kao „Novi rezultati istraživanja“, „Résumé“ ili „Račun broj xxxx“.
Kao novu metodu za kibernetičke napade hakeri koriste Guglov veb-pretraživač „Krom“ (Chrome), upozorava BfV. Napadnutu osobu hakeri u i mejl poruci pozivaju da instalira neki dodatak veb-pretraživaču, a radi se zapravo o štetnom programu kojim se kradu lični podaci korisnika na Gugl-mejlu, dakle korisničko ime i šifra.
Zaobilazi se autentifikacija sa dva faktora
„Cilj napada je da se neprimetno ukradu sadržaji iz i mejl foldera žrtve. Pritom se zaobilazi uobičajena bezbednosna provera ponuđača i mejl foldera, kao recimo autentifikacija sa dva faktora“, upozoravaju nemačka i južnokorejska tajna služba.
Druga metoda napada severnokorejskih hakera jeste neopažena instalacija štetnog programa na pamenti telefon sa Android-sistemom preko ponuđača aplikacija „Gugl plej“, i to zloupotrebom funkcije sinhronizacije.
Pritom hakeri postupaju tako da se s ukradenim ličnim podacima žrtve napada prijave na njegov Gugl-nalog. U postavkama računa zatim aktiviraju funkciju za sinhronizaciju Gugl pleha, a potom na Guglov App Store stave naizgled bezazlenu aplikaciju, ali koja je u stvari štetan program.
Gugl-nalog žrtve potom se uvrsti među korisnike koji učestvuju u testiranju navodne aplikacije i tako se štetni program automatski instalira na pametni telefon žrtve, a da ona ništa ne mora ni da čini, ni da zna.
U SAD 2021. optužena tri hakera
Opisani postupak napada do sada je retko funkcionisao, procenjuju tajne službe. Hakeri se veoma trude da ne budu otkriveni, a ako osobe iz Nemačke sumnjaju da su možda bili žrtve napada iz Severne Koreje, Savezna ustanova za zaštitu ustavnog poretka ih poziva da joj se odmah jave.
U prošlosti su već registrovani kibernetički napadi iz Severne Koreje na ciljeve u Nemačkoj. Tako je recimo najpoznatija severnokorejska hakerska grupa „APT38“ ili „Lazarus Group“ pokušala da špijunira nemačka preduzeća koja proizvode oružje. Cilj hakera režima iz Pjongjanga bila je i farmaceutska industrija, naročito firme koje su razvijale vakcinu protiv korone.
Američko pravosuđe je u februaru 2021. podiglo optužnicu u odsustvu protiv tri osumnjičena severnokorejska hakera iz grupe „Lazarus“, za koje smatra da su odgovorni za brojne kibernetičke napade širom sveta. Oni su navodno izveli virtuelne pljačke banaka u kojima su odneli do tri milijarde evra u kripto-valutama.
ff/aj (wdr)
Pratite nas i na Fejsbuku, preko Tvitera, na Jutjubu, kao i na našem nalogu na Instagramu.