U eri u kojoj su tradicionalni filteri e-maila postali sve vještiji u uočavanju zlonamjernih linkova, hakeri pod pokroviteljstvom Sjeverne Koreje okreću se taktilnijem mediju: QR kodu. Nedavni izvještaj koji donosi The Register naglašava sofisticiranu „quishing“ (QR-phishing) kampanju koju je organizovala zloglasna grupa poznata kao Kimsuky.
Prema novom upozorenju FBI-a, ovi stručnjaci za sajber-špijunažu—koji se prate i pod nazivima APT43 ili Emerald Sleet—ubacuju zlonamjerne URL-ove unutar QR kodova kako bi zaobišli korporativne sigurnosne sisteme i oteli osjetljive identitete u cloudu.
“Quishing” rupa u zakonu
Genijalnost ove taktike leži u njenoj sposobnosti da promijeni površinu napada. Slanjem QR koda umjesto tekstualnog linka, Kimsuky prisiljava žrtve da se udalje od svojih dobro branjenih, upravljanih korporativnih radnih stanica i pređu na svoje lične ili neupravljane mobilne uređaje.
- Izbjegavanje filtera: Automatizovani skeneri e-pošte često se muče sa „čitanjem“ slika, što omogućava ovim zlonamjernim kodovima da prođu pored tradicionalne inspekcije i sigurnosnih barijera (sandboxing).
- Identifikacija uređaja: Kada korisnik skenira kod, biva usmjeren na stranicu koja identifikuje operativni sistem i lokaciju njegovog uređaja.
- Zamke prilagođene mobilnim uređajima: Napadači zatim serviraju lažne stranice za prijavu prilagođene za Android ili iOS, savršeno oponašajući portale za Microsoft 365, Okta ili Google.
Mete visoke vrijednosti
Ovo nije nasumična operacija. FBI napominje da kampanja specifično cilja pojedince sa „vrijednim geopolitičkim uvidom“. Primarne žrtve uključuju:
- Istraživačke centre (think tanks) i akademske institucije fokusirane na pitanja Korejskog poluostrva.
- Vladine subjekte i nevladine organizacije (NGO).
- Strateške savjetodavne firme i visoko rangirane političke analitičare.
Zaobilaženje višestruke autentifikacije
Možda najalarmantniji aspekt ove kampanje je njena efikasnost protiv moderne sigurnosti. Prikupljanjem sesijskih tokena umjesto samo lozinki, hakeri mogu izvršiti „napade ponavljanjem“ (replay attacks). To im omogućava da prođu direktno kroz višestruku autentifikaciju (MFA) bez aktiviranja upozorenja o „neuspjeloj prijavi“, pružajući im trajan, nečujan pristup internoj komunikaciji organizacije.
Komentari