Twitter suspende contas fruto de campanha de espionagem norte-coreana

O Twitter encerrou duas contas  utilizadas para levar os investigadores de segurança a descarregar malware numa campanha de espionagem de longa data, atribuída à Coreia do Norte. A campanha foi descoberta pela primeira vez pelo Google Threat Analysis Group (TAG) em janeiro e continua ativa, avança o Threatpost.

A suspensão das contas como parte da operação foi confirmada pelo analista do Google TAG, Adam Weidermann. "Nós (TAG) confirmamos que estas estão diretamente relacionadas com o conjunto de contas que bloqueamos no início deste ano" – disse Weidermann – “no caso do @lagal1990, eles renomearam uma conta GitHub que anteriormente pertencia a outro dos seus perfis do Twitter, encerrado em agosto, @mavillon1”. 

É de notar que é a segunda vez que o Twitter tomou medidas contra contas relacionadas com a Coreia do Norte, ação que já tinha feito em agosto numa ligação a outra campanha de espionagem. Weidermann explicou na investigação de janeiro que os atores criaram um blog de "pesquisa" e utilizaram os perfis do Twitter para divulgar links com o objetivo de atrair potenciais alvos. Além disso, também usaram as contas para publicar vídeos de supostos exploits em que trabalharam e para amplificar e retweetar publicações de outras contas que controlam.

A campanha visa investigadores de segurança – a mesma forma como os atores das contas se apresentaram. O TAG identificou ainda a utilização de uma tática de engenharia social chamada “novel”, que os atores utilizam para direcionar o ataque a investigadores específicos, através da colaboração. "Após estabelecerem contacto, os atores perguntariam ao investigador-alvo se queriam colaborar em pesquisas sobre vulnerabilidades e, em seguida, fornecer ao investigador um Visual Studio Project", explicou Weidermann, projeto esse, malicioso.

"Dentro do Visual Studio Project estaria um source code para explorar a vulnerabilidade, bem como um DLL adicional que seria executado através de Visual Studio Build Events" e "o DLL é um malware personalizado que começaria imediatamente a comunicar com domínios controlados pelo ator (comando e controlo ou C2)", completa o analista do TAG.

Depois do Google TAG ter descoberto a campanha em janeiro,  investigadores de segurança sul-coreanos identificaram um exploit zero-day no Internet Explorer (IE) – que os investigadores da ENKI disseram ser um double-free bug, que permite a um website ou anúncio malicioso desencadear um exploit para o zero-day do IE.

Segundo The Record, citado pelo Threatpost, nenhuma das duas contas de Twitter tinha mais de mil seguidores. O Google TAG ainda não publicou uma análise sobre o tema, que indique se as contas já tinham começado a contactar os investigadores antes de serem encerradas.