מפתחים פרילאנסרים? אתם על הכוונת של ההאקרים

כבר מהשנה שעברה, חוקרי חברת אבטחת המידע ESET זיהו מספר פעולות זדוניות המזוהות עם צפון קוריאה, ובהן מפעילי הקמפיינים, המתחזים למגייסי מפתחי תוכנה, מפתים את קורבנותיהם באמצעות הצעות עבודה מזויפות. לאחר מכן, הם מנסים להעביר לקורבנותיהם פרויקטים של פיתוח בהם מסתתרת נוזקה לגניבת מידע.

מחלקת המחקר של ESET מכנה את מערך הפעילות הזה בשם DeceptiveDevelopment. הפעילות הזו, שמזוהה עם צפון קוריאה, לא שויכה עד היום לאף גורם איום ספציפי ע"י ESET. הפעילות הזדונית הזו מנסה לפגוע במפתחי תוכנה פרילאנסרים באמצעות מתקפות פישינג ממוקדות דרך אתרים לחיפוש משרות ועבודות פרילאנס, במטרה לגנוב ארנקי מטבעות דיגיטליים ופרטי התחברות מדפדפנים ומנהלי סיסמאות.

"כחלק מתהליך הקבלה המזויף, מפעילי DeceptiveDevelopment מבקשים מקורבנותיהם לעבור מבחן קוד, כמו הוספת פיצ'ר לפרויקט קיים, כך שהקבצים הנחוצים להשלמת המשימה מאוחסנים במאגרי קוד פרטיים ב-GitHub או פלטפורמות דומות. לאחר שהקורבן מוריד ומריץ את הפרויקט, המחשב נפרץ", מסביר מאתיי הבראנק, חוקר ESET שחשף וניתח את פעילות DeceptiveDevelopment.

הטקטיקות, הטכניקות והתהליכים (TTPs) של קמפיין DeceptiveDevelopment דומים לאלו של מבצעים מוכרים אחרים שמזוהים עם צפון קוריאה. מפעילי הקמפיין מנסים לפגוע במפתחי תוכנה במערכות ההפעלה Windows, Linux ו-macOS. מטרתם העיקרית היא גניבת מטבעות דיגיטליים ליצירת רווח כספי, וייתכן כי קיימת גם מטרה משנית - ריגול סייבר. כדי להשיג את מטרותיהם, מפעילי הקמפיין משתמשים בפרופילים מזויפים לגיוס עובדים ברשתות חברתיות. התוקפים לא מבדילים בין קורבנות מאזורים גיאוגרפיים שונים, ובמקום זאת מנסים לפגוע במספר גדול ככל האפשר של קורבנות כדי להגביר את הסיכוי להצליח בגניבת כספים ומידע.

קמפיין DeceptiveDevelopment מתבסס על שתי משפחות נוזקה עיקריות כחלק מפעילותו, והן מותקנות ומופעלות בשני שלבים. השלב הראשון, שנקרא BeaverTail (נוזקת גניבת מידע והורדה) פועל כנוזקה פשוטה לגניבת שמות משתמש וסיסמאות, שמחלצת בסיסי נתונים המאוחסנים בדפדפן ומכילים סיסמאות שמורות, וכרכיב הורדה לשלב השני - InvisibleFerret, שכולל מרכיבי רוגלה ודלת אחורית, ומסוגל גם להוריד את תוכנת AnyDesk הלגיטימית להשתלטות וניטור מרחוק לביצוע פעולות לאחר הפריצה הראשונית.

כדי להתחזות למגייסים, התוקפים מעתיקים פרופילים של אנשים קיימים ואפילו בונים זהויות חדשות לחלוטין. לאחר מכן הם פונים באופן יזום לקורבנות פוטנציאליים דרך פלטפורמות לחיפוש משרות ופרויקטים פרילאנס, או באמצעות פרסום הצעות עבודה מזויפות באתרים האלה. אמנם חלק מהפרופילים האלה נוצרו ע"י התוקפים עצמם, אך ייתכן שחלקם הם פרופילים שנגנבו ממשתמשים אמיתיים בפלטפורמה ועברו שינוי ע"י התוקפים.

חלק מהפלטפורמות בהן התקיימה אינטראקציה כזו הן אתרים גנריים למציאת עבודה, אך חלק מתמקדות בפרויקטים הקשורים למטבעות דיגיטליים ו-BlockChain, ואלו מתאימות יותר למטרותיהם של התוקפים. בין הפלטפורמות ניתן למנות את: LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight ו-Crypto Jobs List.

הקורבנות מקבלים את הקבצים של הפרויקט באמצעות העברת קבצים ישירה באתר עצמו, או באמצעות קישור למאגר כמו GitHub, GitLab או Bitbucket. הם מתבקשים להוריד את הקבצים, להוסיף פיצ'רים או לתקן באגים, ולדווח חזרה למגייס. בנוסף, הם מתבקשים לבנות ולהריץ את הפרויקט כדי לבדוק אותו, וזה השלב בו מתרחשת הפריצה הראשונית.

התוקפים משתמשים בטריק מחוכם למדי כדי להסתיר את הקוד הזדוני: הם מסתירים אותו בחלק זניח יחסית של הפרויקט, בדרך כלל כחלק קוד Back-end שלא קשור למשימה שניתנה למפתח, ומוסיפים אותו בשורה בודדת אחרי הערת קוד ארוכה. כך, הקוד לרוב לא מופיע על המסך ונשאר מוסתר.

"מערך הפעילות DeceptiveDevelopment הוא נדבך נוסף באוסף גדול של הונאות גניבת כספים שמופעלות ע"י גורמים שמזוהים עם צפון קוריאה, ותואם למגמה מתמשכת של שינוי המיקוד מגניבת כסף מסורתית לגניבת מטבעות דיגיטליים, מסכמים ב-ESET.