Sjevernokorejski hakeri uspjeli su da probiju zaštitu popularnog softvera Axios, koji se koristi u pozadini miliona web stranica i aplikacija, kako bi ukrali podatke za prijavu i omogućili dalje kibernetičke operacije, objavio je Google.

Napadači su dodali svoj zlonamjerni softver u ažuriranje koje je izdano u ponedjeljak, što je omogućilo pristup podacima računara, uključujući vjerodajnice za prijavu. Ovi podaci bi se zatim mogli koristiti za dodatne krađe podataka ili druge vrste napada.

Šta je Axios i zašto je napad opasan

Axios je program koji povezuje aplikacije i web usluge, a koristi se u pozadini prilikom učitavanja web stranica, provjere bankovnog stanja ili otvaranja aplikacija na telefonu. Kako je softver otvorenog koda, napadači su ga relativno lako kompromitovali.

“Ne morate ništa kliknuti ili napraviti grešku,” rekao je Tom Hegel, viši istraživač u SentinelOne. “Softver kojem već vjerujete učinio je to za vas.”

Sjevernokorejska veza i ciljevi

Google je napad pripisao grupi koju prati pod oznakom UNC1069, a za koju se vjeruje da djeluje u vezi sa Sjevernom Korejom od 2018. godine. Grupa je poznata po ciljanju kriptovalutne i finansijske industrije.

“Sjevernokorejski hakeri imaju duboko iskustvo sa napadima na lanac snabdijevanja, koje prvenstveno koriste za krađu kriptovalute,” izjavio je John Hultquist, glavni analitičar za Google-ovu grupu za obavještavanje o prijetnjama.

Prema američkoj vladi, Sjeverna Koreja koristi ukradene kriptovalute za finansiranje svog oružja i drugih programa, kao i za zaobilaženje sankcija. Napadači su kreirali verzije zlonamjernog softvera koje mogu zaraziti macOS, Windows i Linux operativne sisteme.

Metode hakera značile su da je “napadač dobio mehanizam isporuke s potencijalnim dosegom u milione okruženja”, navela je kibernetička firma Elastic Security. Nije jasno koliko je puta zlonamjerni softver preuzet.