Vad har hänt?
I januari publicerade Google en artikel där de förklarade att säkerhetsforskare utsatts för en mycket avancerad och omfattande kampanj de attribuerade till Nordkorea. Google har nu publicerat ytterligare en artikel där de förklarar att ytterligare en kampanj har uppdagats med samma modus och måltavlor.
Den senaste kampanjen innebär att en hemsida har skapats för ett fejkat företag som de kallat SecuriElite med flertalet personer kopplade till verksamheten. Precis som tidigare använder de sig utav PGP-nycklar som finns länkade från hemsidan till en annan där 0-dayssårbarheter väntar en besökande webbläsare.
De har skapat flertalet profiler som finns på sociala medier med flertalet följare, allt för att ge sken av en verklig verksamhet. Hemsidan i sig har inte, enligt Google, innehållit någon skadlig kod…
Janauari hacket använde 0-days i Internet Explorer, men bedömningen Google gör är att de troligtvis har fler sårbarheter på lager.
Vad innebär detta?
Händelserna som Google dokumenterat talar onekligen för att Nordkorea har en offensiv och avancerad cyberförmåga. Den väver ihop övergripande mål med förmåga att genomföra och planera, samt utföra. Även om måltavlorna tidigare i huvudsak utgjordes av säkerhetsforskare som forskat kring sårbarheter kanske scopet kan tänkas utökas om metoderna är framgångsrika.
Vid en sådan utökning innebär det således att vi måste fundera kring vad detta innebär för oss i Sverige. Vilka konsultbolag med fokus på säkerhet finns och med någorlunda internationell kontext? Att Nordkorea skulle lära sig svenska känns ännu inte särskilt troligt, men däremot sådana företag med engelska som koncernspråk däremot behöver fundera vad detta innebär.
Om och under antagandet att säkerhetskonsulter blir måltavlor, hur skyddar vi de här? Det vore vanskligt att utgå ifrån att säkerhetskonsulter tänker säkert och agerar säkert.
Däremot skulle jag också vilja rikta lite uppmärksamhet att man nu säger sig vara ett offensivt säkerhetsföretag som genomför pentester osv. Det är inte uppenbart att måltavlorna endast skulle vara säkerhetsexperter utan kanske ett försök att bredda något?
Vad bör jag göra?
Personligen har jag sedan en tid tillbaka börjat använda en dedikerad webbläsare för surf som jag använder i en virtuell maskin, särkilt när det gäller slösurf och omvärldsbevakning. Det är således första åtgärden du bör fundera på att använda.
Nästa steg skulle vara att reflektera över vilka indikatorer som rimligen borde dyka upp om denna typ av aktivitet skulle öka. Vad borde vi se om en sådan här aktivitet pågick?
Slutsatser
Vi ska börja med att inte överdriva hotet. Ännu innebär detta inte en nämnvärt ökad risk för särskilt många säkerhetsexperter. Men det innebär en viss förflyttning i målsättning och den är intressant nog att fortsätta följa.