C’è un nuovo gruppi di hacker di stato in Corea del Nord: si chiamano APT37 REAPER e li hanno scoperti i ricercatori di sicurezza informatica di Fire Eye.
I cyber esperti li avevano già rintracciati i primi del mese a seguito della loro peculiarità: l’uso di una vulnerabilità zero-day di Adobe Flash. Avevano capito che venissero dal regime di Kim Jong-un, ma non avevano dato loro finora un’identità precisa. Oggi, invece, si apprende che il gruppo sta espandendo le sue operazioni sia come obiettivi sia come sofisticazione. A proposito è stato rilevato che nel toolset del cyber army di Pyongyang non ci sono solo vulnerabilità zero-day, ma anche wiper malware. Fire Eye, inoltre, è convinta che la formazione operi per conto del governo asiatico, in base allo sviluppo di codici malevoli e al tipo di bersagli colpiti, in linea con gli interessi della DPRK.
Chi sono i bersagli dei cyber attacchi del gruppo di Pyongyang e come li colpiscono
Il primo bersaglio degli hacker della Corea del Nord sono – ovviamente – la Corea del Sud, il Giappone, il Vietnam e il Medio Oriente. Le cyber spie di Pyongyang puntano diversi settori: dalla chimica all’elettronica, passando per quella manifatturiera, l’aerospaziale, l’automotive e quella della salute. Non è chiaro se sono per rubare informazioni o anche per operazioni di cyberwarfare distruttiva. Le tattiche, tecniche e procedure (TTP) dei cyber attacchi prevedono inizialmente azioni di social engineering contro bersagli designati. Poi, l’invio di malware con diverse caratteristiche tramite siti di file-sharing Torrent o di altro tipo. Le cyber spie di Kim Jong-un sfruttano vulnerabilità zero-day di Adobe Flash o dell’Hangul Word Processor (HWP). A volte incorporandole tra loro. Parallelamente, il gruppo incrementa nel tempo la sua sicurezza operativa, per ridurre i rischi di essere intercettato.