Spionprogram avslöjade nordkoreansk hackarfälla – Meta stänger 150 000 konton i separat säkerhetsoffensiv

Genombrott genom spionprogram avslöjar nordkoreansk koppling

När cybersäkerhetsföretaget Hudson Rock analyserade data från datorer infekterade med spionprogram gjorde de en överraskande upptäckt. Den massiva Polyfill-attacken som drabbade över 100 000 webbplatser 2024 hade inte bara kinesiska fingeravtryck – den ledde rakt till Nordkorea.

Attackens anatomi är fascinerande från teknisk synpunkt. I februari 2024 förvärvades den populära tjänsten Polyfill.io av det kinesiska CDN-företaget Funnull. Tjänsten, som används av webbplatser för att leverera JavaScript-kod för webbläsarkompatibilitet, förvandlades snabbt till en trojansk häst. Genom cdn.polyfill.io spreds skadlig kod som riktade sig mot mobila användare med sofistikerade undvikningstekniker.

Men det verkligt intressanta är hur kopplingen till Nordkorea avslöjades. En nordkoreansk hackare hade laddat ner en falsk programinstallation som innehöll LummaC2-skadlig kod – och blivit sitt eget offer. Spionprogrammet samlade in hackarens egna inloggningsuppgifter och webbläsarloggar, vilket avslöjade järnhårda bevis för kopplingen mellan den nordkoreanska operatören och Funnull.

Enligt SecurityWeek syftade attacken till att leda användare till spelsajter för penningtvätt av kryptovaluta till Nordkorea. Säkerhetsföretagen Sansec och C/side bekräftade attacken redan i juni 2024, men det har tagit månader att kartlägga den verkliga omfattningen.

Meta slår tillbaka med AI och internationellt samarbete

Parallellt med avslöjandena om den nordkoreanska attacken har Meta genomfört sin egen offensiv. I samarbete med FBI och thailändsk polis genomfördes en stor internationell operation mot bedragericentra i Sydostasien som resulterade i 21 gripanden och stängning av över 150 000 konton.

Det här är inte Metas första storskaliga insats – i december togs 59 000 konton, sidor och grupper bort från plattformarna. Men nu lanserar företaget också nya skyddsverktyg som visar hur AI kan användas proaktivt för cybersäkerhet.

WhatsApp-användare får nu varningar när någon försöker koppla en okänd enhet till deras konto. Facebook introducerar ett system som varnar för misstänkta vänförfrågningar baserat på signaler som brist på gemensamma vänner och geografiska skillnader. Messenger får ett avancerat system som automatiskt upptäcker potentiella bedrägerier.

Nya metoder kräver nya försvar

Båda fallen illustrerar cybersäkerhetens paradoxala natur. Samma tekniker som gör angrepp möjliga – spionprogram, AI-analys, automatiserade system – blir också våra kraftfullaste försvar. Hudson Rocks genombrott kom genom att vända angriparnas egna verktyg mot dem.

Det internationella samarbetet mellan thailändsk polis, FBI och Meta visar också hur gränsöverskridande cyberbrottslighet kräver gränsöverskridande lösningar. När kriminella nätverk verkar globalt måste försvaret också tänka globalt.

Metas användning av artificiell intelligens för att identifiera bedrägerimönster representerar nästa generation av proaktivt cybersäkerhetsarbete. Istället för att bara reagera på kända hot kan systemen nu förutse och förhindra nya attackvektorer.