Nuovi venti di guerra cyber tra Usa e Corea del Nord. L’Us-Cert (United States Computer Emergency Readiness Team) e l’Fbi hanno emesso un doppio bollettino di sicurezza con dettagli riguardanti l’attività di un gruppo di hacker nordcoreano, noto come Hidden Cobra, che dall’anno scorso starebbe cercando di colpire settori come l’aerospaziale e le telco con Fallchill. Il programma maligno in questione, spiegano gli esperti, è di fatto un Rat: un tool di amministrazione remoto che consente ai pirati informatici di perlustrare i server delle vittime da cima a fondo, cancellando poi tutte le tracce. Ma a Fallchill si aggiunge anche l’impiego del trojan Volgmer, che fornisce un accesso coperto al sistema compromesso. Secondo l’alert diffuso da Us-Cert ed Fbi la backdoor sarebbe in circolazione dal 2013 e diversi soggetti riconducibili a Hidden Cobra avrebbero cercato di installarla nelle macchine di aziende finanziarie, dell’automotive, dei media e anche nella Pubblica Amministrazione.
L’amministrazione a stelle e strisce ha rilasciato anche un elenco di Ip utilizzati dagli hacker per mantenere un’impronta nelle reti delle vittime, partendo così da quell’avamposto per tentare ulteriori attacchi interni. Gli indirizzi sono stati pubblicati per consentire alle organizzazioni di approntare nuove soluzioni di sicurezza e “ridurre l’esposizione verso ogni attività criminale del governo della Corea del Nord”.
Fallchill entra nei sistemi tramite dropper terzi o grazie all’ausilio di ulteriori malware, ad esempio quando la vittima visita dei siti compromessi. Volgmer, invece, ricorre tipicamente a campagne di spearphishing per cercare di intrufolarsi nelle macchine. Il trojan è in grado di raccogliere informazioni, aggiornare le chiavi di registro, scaricare ed effettuare l’upload di file arbitrari, terminare processi, elencare directory ed eseguire comandi. Il tutto controllato da una botnet esterna.
Non è il primo report circolato nel corso del 2017 che punta il dito contro l’attività cyber della Corea del Nord. Secondo Kaspersky Lab e la National Security Agency, il famigerato attacco Wannacry, ad esempio, sarebbe stato condotto dal gruppo di pirati Lazarus, uno dei tanti alias di Hidden Cobra. A ottobre si è invece scoperta una campagna preliminare di spearphishing diretta verso aziende elettriche statunitensi: anche in questo caso dietro la tentata incursione ci sarebbe Pyongyang.