2019-03-03

Nordkoreanskt dataintrång mot tankesmedjor

Palo Alto Networks har upptäckt en ny typ av skadlig programvara som nu angriper amerikanska tankesmedjor som är verksamma inom nationell säkerhet. Liknande programvara har tidigare kunnat knytas till kampanjer med ursprung i Nordkorea. Attackerna utgörs av riktade e-postmeddelanden som är utformade för att lura specifika mottagare.

Kampanjen startade i november 2018 och pågår fortfarande. De som ligger bakom den skadliga programvaran samlar enligt Palo Alto Networks undersökning information om Nordkorea och även om övriga nordöstra Asien. Palo Alto Networks har hittat likheter med tidigare attacker som har ett nordkoreanskt ursprung, bland annat är programvarorna besläktade på flera sätt.

Det handlar om en riktad kampanj, där de som ligger bakom känner sitt mål väl. Palo Alto Networks har till exempel hittat phishingmejl som skickats till ett universitet i USA som skulle hålla en konferens om kärnvapennedrustning i Nordkorea, samt till ett forskningsinstitut och tankesmedja i USA som arbetar med säkerhetsfrågor och där det arbetar kärnvapenexperter.

Angreppen sker genom spear phishing, e-postmeddelanden som är avsedda att lura specifika mottagare. De meddelanden som skickas har maskerats så att det framstår som de är skrivna av en expert på kärnenergi som arbetar som konsult för flera tankesmedjor, alltså en för mottagarna sedan tidigare känd avsändare.

E-postmeddelandena har ett bifogat Exceldokument som har ett så kallat makro, en inbäddad programvara, som körs igång när mottagaren klickar på filen. Denna startar sedan processer som laddar ner en skadlig programvara, som Palo Alto Networks kallar ”BabyShark”, till mottagarens dator. Därefter får angriparen tillgång till datorn.

Palo Alto Networks kunder är skyddade mot angreppen genom att företagets säkerhetsplattform stoppar den skadliga programvaran.


Leverantörer
Ändra marknad
Till toppen av sidan