La Corea del Nord dal 2016 ha lanciato una campagna di cyber attacchi contro aziende in 3 settori: finanza, aerospaziali e telecomunicazioni. Lo ha rivelato il Computer Emergency response Team (CERT) Usa in un Joint Techical Alert (TA).
A proposito Pyongyang sta sfruttando un remote administration tools (RAT), chiamato FALLCHILL. La campagna di cyberwarfare, sui cui indagano l’FBI e il dipartimento per la Homeland Security (DHS) è stata chiamata “Hidden Cobra”. Nel messaggio del CERT, inoltre, si scrive che “l’FBI ritiene che gli attori di Hidden Cobra stiano usando indirizzi IP per mantenere una presenza nei network delle vittime e per studiare ulteriormente le loro vulnerabilità”. Di conseguenza i Gmen e il DHS stanno distribuendo la lista degli IP incriminati a una serie di attori per permettere loro di creare cyber difese ad hoc e ridurre l’esposizione agli attacchi informatici del regime di Kim Jong-un.
Come funzionano i due malware di Pyongyang: il RAT FALLCHILL e il trojan Volgmer
Gli hacker della Corea del Nord stanno usando specificatamente il RAT FALLCHILL e un trojan chiamato Volgmer. Ciò in quanto i malware sono i componenti primari di una infrastruttura di comando e controllo (C2) che usano proxies multipli per offuscare il traffico tra Hidden Cobra e i sistemi delle vittime. In particolare, il cyber army di Pyongyang impiega false comunicazioni Transport Layer Security (TLS), codificando i dati con la crittografia RC4. Una volta installato il malware, questo comunica agli aggressori una serie di dati tra cui la versione del sistema operativo della macchina bersaglio: le informazioni sul processore, il nome del sistema, l’indirizzo IP locale, l’ID unico generato e l’indirizzo per il media access control (MAC). Grazie a queste e altre info, gli aggressori del regime di Kim Jong-un, assumendo il controllo di un sistema, possono rubare dati sensibili e compromettere o sabotare i network.
C’è Lazarus dietro alla cyber offensiva?
Diversi ricercastori di sicurezza informatica sospettano che anche in questo caso sia coinvolto il gruppo hacker Lazarus, braccio cyber delle attività illecite della Corea del Nord. La formazione, infatti, opera a 360 gradi sul web. Dal furto di denaro online per finanziare il programma ICBM di Pyongyang alle azioni di spionaggio cibernetico, fino agli attacchi (vedi quello alla Sony) per punire i nemici dell regime di Kim Jong-un
Gli alert del CERT Usa sulla cyber attività malevola nord coreana