间谍利用LinkedIn侵入欧洲防务公司

这是为LinkedIn用户撰写的，从咄咄逼人的招聘人员那里收到主动发来的信息是理所当然的。对一些人来说，这是一种烦恼，对另一些人来说，这是一条通往新工作的欢迎之路。

这种经历不应该涉及的是从雇佣你的国防公司窃取敏感数据。

根据周三公布的研究，2019年9月至12月，两家欧洲航空航天和防务公司的员工就发生了这种情况。罪魁祸首是一个迄今尚未确定的高级持续威胁(APT)组织-通常与政府有直接联系的黑客。他们的方法是无情的，有时甚至是笨拙的。

揭露黑客行动的反病毒公司ESET的威胁研究主管让-伊恩·布廷(Jean-Ian Boutin)表示，这些特工“瞄准了这两个组织的大量员工，跨越不同的部门，坚持不懈地试图在目标的网络中站稳脚跟。”

在行动结束时，黑客试图从一家欧洲公司骗取客户欠他们的钱-这是APT集团偶尔涉足个人致富计划的一个例子。

ESET研究人员仍在努力确定谁对这次黑客攻击负责。数据中初步但未经证实的线索指向拉撒路集团(Lazarus Group)，这是一个与朝鲜政府有关联的广泛黑客群体。无论幕后黑手是谁，这次行动都提供了一个警示故事，说明社会工程技术如何可以被用于间谍活动。

ESET的调查结果表明，尽管LinkedIn努力打击冒名顶替者，但该平台仍是间谍活动的沃土。

例如，美国官员多次指责中国间谍利用该平台招募美国资产。前中央情报局(CIA)秘密官员凯文·马洛里(Kevin Mallory)在传递中国情报机密信息后，于2018年被判犯有间谍罪。这一切都始于2017年，一名中国猎头在LinkedIn上联系了马洛里，并将他介绍给了一位在中国智库工作的人。

其他国家的政府也在利用LinkedIn。美国联邦调查局(FBI)的一份宣誓书显示，朝鲜黑客在2016年以8100万美元抢劫孟加拉国银行之前，曾使用LinkedIn进行侦察。

ESET发现的这起间谍活动是从奉承开始的。LinkedIn用户伪装成雷神公司(Raytheon)子公司柯林斯航空航天公司(Collins AerSpace)和通用动力公司(General Dynamics)的招聘人员，向欧洲防务和航空航天公司的员工发出奉承的信息。假招聘者告诉目标，他们是“精英”，在他们所谓的公司里有一席之地等着他们。

在至少一个案例中，该计划转移到了电子邮件上，在电子邮件中，黑客发送恶意文件比用蹩脚的英语交谈更舒服。他们向目标发送了文件，这些文件声称包含了更多关于就业机会的信息，但实际上是一个精心设计的侵入计算机的诡计。

ESET研究人员布廷说：“攻击者相当咄咄逼人，很有说服力，迫使他们的目标打开他们发送的恶意文件。”在某些情况下，目标在打开它们时遇到了技术困难，攻击者真的在努力调试该问题。

通过这种访问，黑客进一步侵入了公司网络。他们“野蛮地强迫”-或者扔出一系列密码，直到其中一个起作用-一个员工名录，以获得一份重要的管理员账户列表，并从这些账户中窃取密码。

布廷的团队不确定黑客究竟窃取了哪些文件，但根据目标人群，他们认为这些文件是欧洲公司掌握的敏感“技术和商业相关信息”。黑客试图掩盖他们的踪迹，删除他们的LinkedIn个人资料和被盗电脑上的文件。他们将文件走私到他们控制的Dropbox文件夹中。

领英(LinkedIn)信任和安全主管保罗·罗克韦尔(Paul Rockwell)在一份声明中表示，该公司有一套保护其平台免受外国间谍攻击的程序。

洛克韦尔说：“我们积极寻找平台上有国家支持的活动迹象，并迅速对不良行为者采取行动，以保护我们的会员。”“我们不等待请求，我们的威胁情报团队利用我们从包括政府机构在内的各种来源发现的信息和情报删除虚假账户。”

间谍使用的一些恶意代码与拉撒路黑客使用的工具有相似之处。其中包括一种名为NukeSed的“后门”，朝鲜电脑操作员曾在说韩语的MacOS用户身上使用过该后门。但这还不足以让研究人员将矛头指向平壤。

很明显的是，肇事者利用企业对受害者的竞争来进一步增加行动的成功几率。

布丁说：“大多数人不太可能向他们目前的雇主报告与他们从竞争对手那里收到的工作邀请有关的可疑活动，并对此感到好奇。”