Twitter suspende contas de hackers que atacavam profissionais de cibersegurança

O Twitter suspendeu contas de hackers norte-coreanos que miravam em profissionais de cibersegurança para seus ataques. As contas foram denunciadas pelo Grupo de Análises de Ameaças do Google (TAG).

As contas divulgavam falsamente soluções para os ataques do tipo dia zero. O dia 0 é um tipo de ataque que explora vulnerabilidades em produtos, sites ou soluções que acabam sendo lançadas sem o conhecimento do fabricante.

A primeira vez que o grupo do Google começou a investigar estas ameaças foi em janeiro de 2021, de acordo com a ZDNet. Os hackers seriam patrocinados pelo governo norte-coreano. Os perfis integravam ainda outras redes como LinkedIn, Keybase e Github.

Para ter credibilidade, as contas divulgavam ter interesse em exploits e bugs de ataques do dia zero. Anunciavam também que postariam conteúdo como códigos de técnicas para demonstrar falhas em software e receitas para exploits.

Props to @revskills and @javutin who identified and reported more DPRK Twitter profiles. Both accounts, @lagal1990 and @shiftrows13, posed as security researchers – leaning on the hype of 0 days to gain followers and build credibility. pic.twitter.com/ICYu6DKyzQ

— Adam (@digivector) October 15, 2021

Os hackers procuravam atrair pesquisadores de cibersegurança de reputação. Chegaram a montar um blog de pesquisa com vídeos que indicavam ser prova de suas habilidades com bugs e exploits.

As contas no Twitter atraíam para os posts de blog e vídeos fraudulentos para amplificar e retuitar ainda mais contas que controlavam. Quando conseguiam atrair a atenção de pesquisadores de cibersegurança, convidavam para colaborar em pesquisa.

O passo seguinte era enviar links para os pesquisadores de um blog cheio de exploits de navegadores incluindo ataque de dia 0 para Internet Explorer descoberto em janeiro. Além disso, mandavam ainda um arquivo de projeto malicioso de Visual Studio que continha um backdoor, garantindo acesso dos hackers ao PC de quem o abrisse e todas as informações da vítima.

Os hackers também criaram uma empresa de segurança falsa chamada SecuriElite em março. Vários dos perfis eram ligados a essa empresa e fingiam ser de recrutadores e pesquisadores de segurança.

As campanhas de espionagem da Coréia do Norte já acontecem há tempos, de acordo com o Threatpost. As contas usavam a técnica de fisgar pesquisadores de cibersegurança com o truque de parecerem legítimos profissionais.

Adam Weidermann, analista do Google, confirmou em 16 de outubro que o Twitter havia suspendido as contas. É a segunda vez que o Twitter suspende contas atribuídas ao governo da Coréia, tendo suspendido outras contas espiãs em agosto.

We (TAG) confirmed these are directly related to the cluster of accounts we blogged about earlier this year. In the case of lagal1990, they renamed a github account previously owned by another of their twitter profiles that was shutdown in Aug, mavillon1 pic.twitter.com/FXQ0w57tyE

— Adam (@digivector) October 15, 2021

Bugs como iscas hackers para pesquisadores de segurança

O analista do Google afirmou que as contas espiãs usavam o Twitter para espalhar links para atrair seus alvos. O conteúdo dos links seriam vídeos de exploits e bugs, que sempre são iscas para atrair a atenção de pesquisadores de cibersegurança online. O tema principal tratado pelos hackers era os ataques de dia zero.

Identificada como engenharia social com convite para colaboração, a tática dos hackers é novidade, de acordo com o grupo Google TAG. Eles convidavam os pesquisadores a entrar em um projeto de colaboração e mandavam o arquivo malicioso do Visual Studio Project.

O projeto, no entanto, era invadir o PC. O código do arquivo do Visual Studio Project exploraria uma vulnerabilidade da máquina do usuário. E uma DLL adicional seria executada com malware para enviar informações para os espiões e permitir o controle do computador como Virtual Studio Build.

Em janeiro, pesquisadores de cibersegurança pegos no golpe já haviam alertado sobre a ameaça online. Os hackers buscavam pesquisadores que haviam postado sobre seu trabalho online e mostrado resultados de sucesso.

I got targeted by Zhang Guo and sent me the blog post link hxxps://blog.br0vvnn[.]io/pages/blogpost.aspx?id=1&q=1 https://t.co/QR5rUYDHrh

— lock (@lockedbyte) January 26, 2021

Falsamente, os hackers diziam ser deles a identificação de uma vulnerabilidade no Windows Defender. A vulnerabilidade existe realmente e já tem patch. Ficou muito famosa por ter sido explorada por três meses por hackers no ataque SolarWinds.

Em um vídeo no Youtube, os hackers diziam ter criado um exploit que criaria uma instância de cmd.exe mas um exame cuidadoso das imagens indicaria que o vídeo era falso, afirmou o Google TAG.

As contas atacavam sistemas atualizados e com patches instalados. O Google TAG identificou que os pesquisadores que caíram nas iscas usavam Windows 10 e navegador Chrome na época que foram enganados.

Depois do Google TAG iniciar a denúncia em janeiro, pesquisadores de segurança da Coréia do Sul identificaram que os espiões estavam usando ataques de dia zero. A companhia falsa usada pelos hackers tinha ainda chave pública de criptografia PGP no site. A chave era uma isca para um malware.

Além do Twitter, as contas usavam também LinkedIn, Telegram, Discord, Keybase e até email para atrair seus alvos. As contas tinham menos de 1000 seguidores ao serem suspensas. Ainda não há estimativas do número de pessoas enganadas.