'Noord-Koreaanse aanvallers delen technieken en informatie'

Google kwam deze samenwerking op het spoor in de nasleep van het repareren van een bug in zijn Chrome-browser. Het gaat om CVE-2022-0609 waarvoor in februari een patch werd uitgebracht. Google wist echter dat deze bug sinds 4 januari ook al actief werd misbruikt door twee aparte groepen uit Noord-Korea die ieder een eigen set doelwitten op de korrel hebben.

Neprecruiters en exploitkits

De ene groep Noord-Koreaanse hackers richt zich vooral op nieuwsdiensten, aanbieders van domeinregistratie, webhostingproviders en softwareleveranciers. In januari werden bij die bedrijfscategorieën in totaal 250 mensen van 10 verschillende organisaties benaderd met niet bestaande vacatures. Daarbij deden de aanvallers zich in e-mails voor als recruiters van Disney, Google en Oracle. De links in deze valse mails leidden slachtoffers dan naar malafide, nagebouwde versies van werkbemiddelaars als Indeed en ZipRecruiter.

De andere groep aanvallers met Noord-Koreaanse banden had vooral mensen in de cryptocurrency en fintech-industrie in het vizier. Beide groepen maakten gebruik van dezelfde exploit-kit die gebruik maakt van de CVE-2022-0609-bug in Chrome. Google's Threat Analyst Group (TAG) zegt aanwijzingen te hebben dat beide groepen een band hebben met een andere groep cyberaanvallers genaamd Lazarus. Die is bekend van inbraken waarbij onder meer in 2021 voor bijna 400 miljoen dollar aan cryptomunten werd buitgemaakt. Experts van de Verenigde Naties concludeerden al in 2018 dat de buit aan cryptovaluta die Lazarus in verschillende inbraken bemachtigde, een financiële impuls heeft gegeven aan het Noord-Koreaanse onderzoeksprogramma naar nieuwe ballistische raketten.

Putten uit dezelfde bron

De exploitkit die beide groepen inzetten, kent verschillende stadia en componenten die daarin worden ingezet. Een van de kenmerken is dat links die leiden naar de exploitkit geplaatst worden in verborgen iframes die zijn geplaatst op sites in beheer van de groep zelf en op sites die eerder zijn gecompromitteerd.

Nadat Google de websites heeft ontdekt, zijn ze allemaal opgenomen in de zwarte lijst die de internetreus hanteert voor zijn Safe Browsing-dienstverlening. Daardoor krijgen Chrome-gebruikers een waarschuwing als ze zo'n site gaan bezoeken, via bijvoorbeeld een link in een valse mail. Ook heeft Google een waarschuwing gestuurd naar alle gebruikers van Gmail en Workspace om hen op de hoogte te stellen van de dreiging.

Security-overname van Google

ZDnet koppelt daaraan ook een bericht van Mandiant, de IT-beveiliger die Google wil overnemen voor een bedrag van 5,4 miljard dollar. Mandiant heeft vijf subgroepen van Lazarus gedefinieerd, genaamd Lab 110, TEMP.Hermit, APT38, Andariel en Bureau 325. Het bedrijf heeft vastgesteld dat deze handelen onder leiding van de Noord-Koreaanse inlichtingendienst waarvan Mandiant de naam vertaalt in het Reconnaissance General Bureau. Deze dienst heeft weer zeven divisies die zich richten op verkenning, buitenlandse inlichtingen, relaties met Zuid-Korea, technologie en ondersteuning. Elk van de Lazarus-subgroepen richt zich op verschillende industrieën en verzamelt informatie van organisaties over geopolitieke evenementen of probeert geld binnen te krijgen via het stelen van cryptovaluta.

Er ontstaat al met al een beeld van een redelijk aantal aanvalsgroepen met eigen doelen en werkwijzen die wel kunnen putten uit een gedeelde bron aan technieken en kennis om hun aanvallen op te zetten. De informatie en de middelen die zo via verschillende kanalen binnenkomen, vloeien via de inlichtingendienst door naar onderzoeksinstellingen van de Nood-Koreaanse overheid die werken aan wapensystemen, maar ook medische technieken zoals vaccins of mogelijkheden om opgelegde sancties te omzeilen.