Kako napadaju hakeri iz Sjeverne Koreje: Preko Gugla, linkovi djeluju autentično...

Među najaktivnije sjevernokorejske hakerske grupe ubrajaju se "Kimsuky", koja se naziva i "Velvet Chollima" ili "Thallium"

4333 pregleda 1 komentar(a)
Ilustracija, Foto: Shutterstock
Ilustracija, Foto: Shutterstock

Korisnici interneta u Njemačkoj sve češće su meta hakerskih napada iz Sjeverne Koreje, koji za to koriste Guglov internet-pretraživač. Njemačka služba za zaštitu ustavnog poretka upozorava na moguće nove napade.

Sjeverna Koreja dospijeva u udarne vijesti obično prijetnjama nuklearnim oružjem i testovima raketa. Diktatura Kim Džonga Una i dalje se smatra jednom od najzatvorenijih zemalja na svijetu. A u vrijeme pandemije kovida Sjeverna Koreja se još jače izolovala.

Većina ljudi u toj zemlji i dalje nema pristup slobodnim informacijama iz ostatka sveta, većini nije dozvoljen ni slobodan pristup internetu.

Pa ipak, Sjeverna Koreja posljednjih godina postaje sve ozbiljnija kibernetička pretnja. Prema saznanjima zapadnih službi bezbjednosti, sjevernokorejski režimski hakeri obavljaju kriminalne napade širom svijeta, kibernetičkim napadima dolaze do informacija iz politike, industrije i nauke, kradu milionske vrijednosti u kriptovalutama, možda i za finansiranje atomskog i raketnog programa.

Među najaktivnije sjevernokorejske hakerske grupe ubrajaju se "Kimsuky", koja se naziva i "Velvet Chollima" ili "Thallium".

Ona je aktivna od 2012. godine. Stručnjaci za kibernetičku bezbjednost procjenjuju da ti hakeri rade za sjevernokorejske državne institucije. Grupa "Kimsuky", nazvana po jednoj i mejl adresi koju su ranije koristili hakeri, specijalizovala se za kibernetičku špijunažu. Napadaju prije svega osobe iz svijeta politike i nauke, a zna se da im je u prošlosti cilj bio da dođu do dokumentacije južnokorejske vlade.

Očekuju se kibernetički napadi u Njemačkoj

Sada je njemačka Savezna služba za zaštitu ustavnog poretka (BfV), prema informacijama javnog servisa WDR, izričito upozorila na opasnost od mogućih hakerskih napada grupe "Kimsuky" i u Njemačkoj. Po prvi put je ta njemačka tajna služba, zajedno sa južnokorejskom tajnom službom NIS, izdala zajedničko upozorenje kako bi upozorila potencijalne žrtve hakerskih napada u Njemačkoj.

"Aktivnosti karakterišu zloupotreba Guglovog pretraživača i App-Store-ponuđača protiv naučnika koji se bave međukorejskim sukobom", navodi se u upozorenju BfV.

"Prema procjenama NIS i BfV, grupa je i prošlih godina napadala korejske i njemačke ustanove ciljanim i mejl porukama za tzv. spear-phishing."

Može se očekivati da bi hakeri ubuduće mogli da napadaju i institute, odnosno organizacije koje se bave diplomatijom i bezbjednosnom politikom, navodi se u dopisu BfV.

Napadi preko Guglovog veb-pretraživača

Hakeri "Kimsuky" najčešće napadaju slanjem i mejl za takozvani spear-phishing, kažu u BfV. To su poruke koje izgledaju autentično, a prilagođene su tačno osobi kojoj su upućene. Cilj im je da ta osoba otvori link veb-stranice koja djeluje autentično i da se tamo prijave. To su recimo veb-adrese goog1e.com umjesto google.com, ili webb.de umjesto web.de, ili gnx.net umjesto gmx.net. Njemačka služba upozorava i na dokumenta u atačmentu koja su označena kao "Novi rezultati istraživanja", "Résumé" ili "Račun broj xxxx".

Kao novu metodu za kibernetičke napade hakeri koriste Guglov veb-pretraživač "Krom" (Chrome), upozorava BfV. Napadnutu osobu hakeri u i mejl poruci pozivaju da instalira neki dodatak veb-pretraživaču, a radi se zapravo o štetnom programu kojim se kradu lični podaci korisnika na Gugl-mejlu, dakle korisničko ime i šifra.

Zaobilazi se autentifikacija sa dva faktora

"Cilj napada je da se neprimjetno ukradu sadržaji iz i mejl foldera žrtve. Pritom se zaobilazi uobičajena bezbjednosna provjera ponuđača i mejl foldera, kao recimo autentifikacija sa dva faktora", upozoravaju njemačka i južnokorejska tajna služba.

Druga metoda napada sjevernokorejskih hakera jeste neopažena instalacija štetnog programa na pamenti telefon sa Android-sistemom preko ponuđača aplikacija "Gugl plej", i to zloupotrebom funkcije sinhronizacije.

Pritom hakeri postupaju tako da se s ukradenim ličnim podacima žrtve napada prijave na njegov Gugl-nalog. U postavkama računa zatim aktiviraju funkciju za sinhronizaciju Gugl pleha, a potom na Guglov App Store stave naizgled bezazlenu aplikaciju, ali koja je u stvari štetan program.

Gugl-nalog žrtve potom se uvrsti među korisnike koji učestvuju u testiranju navodne aplikacije i tako se štetni program automatski instalira na pametni telefon žrtve, a da ona ništa ne mora ni da čini, ni da zna.

U SAD 2021. optužena tri hakera

Opisani postupak napada do sada je rijetko funkcionisao, procjenjuju tajne službe. Hakeri se veoma trude da ne budu otkriveni, a ako osobe iz Njemačke sumnjaju da su možda bili žrtve napada iz Sjeverne Koreje, Savezna ustanova za zaštitu ustavnog poretka ih poziva da joj se odmah jave.

U prošlosti su već registrovani kibernetički napadi iz Sjeverne Koreje na ciljeve u Njemačkoj. Tako je recimo najpoznatija sjevernokorejska hakerska grupa "APT38" ili "Lazarus Group" pokušala da špijunira njemačka preduzeća koja proizvode oružje. Cilj hakera režima iz Pjongjanga bila je i farmaceutska industrija, naročito firme koje su razvijale vakcinu protiv korone.

Američko pravosuđe je u februaru 2021. podiglo optužnicu u odsustvu protiv tri osumnjičena severnokorejska hakera iz grupe "Lazarus", za koje smatra da su odgovorni za brojne kibernetičke napade širom svijeta. Oni su navodno izveli virtuelne pljačke banaka u kojima su odneli do tri milijarde evra u kripto-valutama.

Item URL https://www.dw.com/sr/severnokorejski-hakeri-napadaju-preko-gugla/a-65141935?maca=ser-VEU_vijestime-17055-html-copypaste

Bonus video: