Rozmowa przez Skype'a i naiwny pracownik – to wszystko, czego potrzebowali hakerzy z Korei Północnej, by przeniknąć do serwerów firmy Redbanc, która jest odpowiedzialna za połączenie infrastruktury wszystkich chilijskich banków.
Głównym podejrzanym jest tzw. Grupa Lazarusa, znana z powiązań z północnokoreańskim reżimem. Grupa Lazarusa jest jedną z najbardziej aktywnych i niebezpiecznych grup hakerskich i wiadomo, że w ostatnich latach jej ataki były skierowane właśnie w stronę banków, instytucji finansowych oraz giełd kryptowalut. Do ostatniego ataku w Chile doszło pod koniec grudnia ubiegłego roku, lecz wiadomość przedostała się do opinii publicznej dopiero w zeszłym tygodniu.
Firma Redbanc, która ma bezpośrednie połączenie z sieciami wszystkich chilijskich banków, formalnie ogłosiła, że doszło do ataku już dzień później, jednak wiadomość opublikowana na stronie internetowej nie zawierała żadnych szczegółów na temat włamania. Lakoniczny komunikat zainspirował jednak miejscowy portal technologiczny trendTIC do przeprowadzenia śledztwa, które ujawniło, że Redbanc padło ofiarą poważnego cyberataku, a nie czegoś, co można byłoby bez mrugnięcia okiem zlekceważyć.
W trakcie rozmowy pracownik Redbanc miał zostać poproszony o pobranie i zainstalowanie pliku ApplicationPDF.exe, który rzekomo miał mu pomóc w procesie rekrutacji i wygenerować formularz potrzebnego wniosku. W rzeczywistości plik zawierał złośliwe oprogramowanie PowerRatankba.
Wirus zebrał wszystkie informacje z komputera pracownika Redbanc i przesłał je na zdalny serwer. Wśród zgromadzonych danych znajdowały się m.in. nazwa użytkownika komputera, szczegóły sprzętu i systemu operacyjnego, ustawienia proxy, lista bieżących procesów oraz stan połączenia RDP. Zebrane informacje umożliwiły hakerom przygotować grunt pod drugi etap działań, polegający na przesłaniu na serwery Redbanc inwazyjnego skryptu PowerShell.
zmianynaziemi.pl