Écrit par Shannon Vavra
Des pirates informatiques nord-coréens ont créé une fausse société de sécurité et des comptes de médias sociaux dans le cadre d’une vaste campagne ciblant les chercheurs en cybersécurité avec des logiciels malveillants, selon une étude Google publiée mercredi.
Les pirates informatiques ont exploité au moins deux faux comptes sur LinkedIn qui se font passer pour des recruteurs semblant appartenir à des sociétés de logiciels antivirus et de sécurité, Google a dit. L’un des recruteurs, soi-disant nommé «Carter Edwards», travaille dans une entreprise qui aurait été nommée «Trend Macro», que quelqu’un recherchant rapidement un nouvel emploi dans le domaine de la sécurité de l’information peut confondre avec la société de sécurité légitime Trend Micro.
La campagne repose également sur une poignée de Twitter comptes.
La fausse société basée en Turquie, que les pirates appellent «SecuriElite», prétend être basée en Turquie et se concentrer sur la sécurité offensive, les tests de pénétration, les évaluations de la sécurité des logiciels et les exploits, selon Google.
Les pirates ont créé la société apparente en mars, a déclaré Google. Le compte Twitter qui semble être lié à la fausse entreprise n’a tweeté qu’une seule fois et a un abonné au moment de la publication.
Ce n’est pas la première fois que ces suspects Hackers nord-coréens ont créé un faux site Web et des comptes de médias sociaux destinés à contraindre d’autres chercheurs en sécurité à une prétendue collaboration, uniquement pour les inciter à télécharger des logiciels malveillants.
Google a déjà exposé une itération antérieure de la campagne, qui se vantait d’un blog sur la sécurité apparemment légitime et des opportunités pour les cibles de rechercher une vulnérabilité avec les propriétaires du blog.
Dans ce cas, même les cibles intéressées qui ont juste cliqué pour voir le blog ont été infectées, même si elles avaient des versions correctives et mises à jour du navigateur Windows 10 et Chrome, a déclaré Google.
La révélation que les hackers ont mis en place une nouvelle branche de la campagne ces derniers jours suggère cependant qu’ils ne semblent pas dissuadés après leur exposition antérieure.
Bien que Google ait déclaré que les pirates étaient liés à une entité soutenue par le gouvernement, ils ne nomment pas le groupe spécifique d’attaquants.
Les pirates informatiques ne semblent pas encore cibler de chercheurs avec des logiciels malveillants utilisant la partie SecuriElite de la campagne, a déclaré Google. Mais le site propose un lien vers leur clé publique PGP, un lien fourni par la version précédente de la campagne afin de diffuser un exploit de navigateur, selon Google.
La campagne précédente, qui ciblait les victimes avec des logiciels malveillants, exploitait des comptes sur Twitter, LinkedIn, Telegram Discord et Keybase, et envoyait également des e-mails aux victimes potentielles.
Google a déclaré avoir contacté LinkedIn et Twitter pour d’éventuels efforts de retrait ciblant les derniers comptes de médias sociaux que l’équipe a découverts. Les deux plates-formes de médias sociaux ont supprimé les comptes.
«Nos conditions interdisent l’utilisation de LinkedIn pour toute activité criminelle, et nous recherchons activement les signes d’activité parrainée par l’État et prenons rapidement des mesures contre les mauvais acteurs sur la plate-forme», a déclaré un porte-parole de LinkedIn à CyberScoop.
«Tous les comptes auxquels vous avez fait référence ont été définitivement suspendus pour avoir enfreint les règles de Twitter. Si nous pouvons attribuer de manière fiable une activité à des acteurs soutenus par l’État, nous divulguerons les comptes et le contenu associé à nos archives d’opérations d’information », a déclaré un porte-parole de Twitter.
Certains hackers nord-coréens se sont fait passer pour des recruteurs d’emplois en 2016 et 2017 dans le but de s’introduire dans les systèmes informatiques de Lockheed Martin, selon le ministère de la Justice.
Plus récemment, des pirates informatiques liés au gouvernement nord-coréen, connus sous le nom de Le groupe Lazarus a ciblé des personnes travaillant dans le secteur de la défense en Israël avec de fausses offres d’emploi l’année dernière dans le cadre d’une campagne d’espionnage plus large, selon le ministère israélien de la Défense. Les hackers nord-coréens ont également récemment employés ciblés dans les entreprises de l’aérospatiale et de la défense avec des documents Microsoft Word malveillants, selon les chercheurs de McAfee.
Mettre à jour, 31/03/2021: Cet article a été mis à jour pour inclure les commentaires de LinkedIn et Twitter.
-->
