Το Πεντάγωνο, το FBI και το Υπουργείο Εσωτερικής Ασφάλειας αποκάλυψαν μια νέα hacking εκστρατεία, πίσω από την οποία βρίσκονται hackers από τη Βόρεια Κορέα. Οι ειδικοί παρείχαν τεχνικές λεπτομέρειες για επτά διαφορετικά δείγματα malware που χρησιμοποιήθηκαν στις συγκεκριμένες επιθέσεις.
Η αμερικανική Cyber National Mission Force, τμήμα του Cyber Command του Πενταγώνου που ασχολείται με την κυβερνοασφάλεια, δήλωσε στο Twitter ότι τα malware χρησιμοποιούνται ακόμα για phishing επιθέσεις και απομακρυσμένη πρόσβαση από hackers της κυβέρνησης της Βόρειας Κορέας. Στόχος τους είναι η διεξαγωγή παράνομων δραστηριοτήτων, η κλοπή κεφαλαίων και η αποφυγή κυρώσεων”. Το tweet συνδέθηκε με μια ανάρτηση στο VirusTotal. Εκεί περιλαμβάνονται hashes, ονόματα αρχείων και άλλες τεχνικές λεπτομέρειες που βοηθούν τους ειδικούς να εντοπίσουν παραβιάσεις μέσα στα δίκτυα που προστατεύουν.
Το Υπουργείο Εσωτερικής Ασφάλειας δήλωσε ότι η εκστρατεία ήταν έργο της Hidden Cobra. Έτσι έχει ονομάσει η αμερικανική κυβέρνηση μια hacking ομάδα που χρηματοδοτείται από την κυβέρνηση της Βόρειας Κορέας. Η συγκεκριμένη ομάδα είναι επίσης γνωστή ως Lazarus και Zinc.
Ακολουθούν έξι από τα επτά malware που φορτώθηκαν στο VirusTotal:
- Bistromath: ένα trojan που επιτρέπει την απομακρυσμένη πρόσβαση και παρακολουθεί συστήματα, μεταφορτώνει και κατεβάζει αρχεία, εκτελεί διαδικασίες και εντολές, παρακολουθεί μικρόφωνα, clipboards και οθόνες
- Slickshoes: ένα “dropper” που έχει αρκετά κοινά στοιχεία με το Bistromath
- Hotcroissant: (μοιάζει με τα παραπάνω)
- Artfulpie: κατεβάζει και εκτελεί αρχεία DLL από ένα hardcoded url
- Buttetline: χρησιμοποιεί ένα ψεύτικο σχήμα HTTPS με έναν τροποποιημένο RC4 encryption cipher για να μένει κρυφό
- Crowdedflounder: ένα Windows εκτελέσιμο αρχείο που έχει σχεδιαστεί για να εκτελεί ένα Trojan απομακρυσμένης πρόσβασης στη μνήμη του υπολογιστή
Ωστόσο, την Παρασκευή, το Cybersecurity and Infrastructure Security Agency παρείχε κάποιες πρόσθετες πληροφορίες για το Hoplight, μια ομάδα 20 αρχείων που λειτουργούν ως proxy-based backdoor. Κανένα από τα malware δεν περιέχει πλαστές ψηφιακές υπογραφές, οι οποίες συνήθως χρησιμοποιούνται σε hacking επιθέσεις για την παράκαμψη των μέτρων ασφαλείας.
Ο Costin Raiu, διευθυντής της ομάδας Global Research and Analysis της Kaspersky Lab, δημοσίευσε μια εικόνα που δείχνει τη σχέση ανάμεσα σε αυτό το malware και σε άλλα που έχουν χρησιμοποιηθεί από την ομάδα Lazarus.
Η δημόσια αποκάλυψη αυτών των πληροφοριών από την ομοσπονδιακή κυβέρνηση είναι μια σχετικά νέα προσέγγιση στον τομέα της αναγνώρισης ξένων hackers και των δραστηριοτήτων τους. Προηγουμένως, η κυβέρνηση απλά συνέδεε συγκεκριμένες εκστρατείες με συγκεκριμένες κυβερνήσεις. Αυτό άρχισε να αλλάζει το 2014, όταν το FBI κατέληξε δημοσίως στο συμπέρασμα ότι η κυβέρνηση της Βόρειας Κορέας βρισκόταν πίσω από το hack της Sony Pictures. Το 2018, το Υπουργείο Δικαιοσύνης δήλωσε ότι ένας πράκτορας από τη Βόρεια Κορέα προκάλεσε το hack και εξάπλωσε το WannaCry ransomware που έθεσε εκτός λειτουργίας εκατομμύρια υπολογιστές παγκοσμίως το 2017. Πέρυσι, το αμερικανικό Υπουργείο Οικονομικών κατηγόρησε τρεις hacking ομάδες της Βόρειας Κορέας για επιθέσεις σε κρίσιμες υποδομές και κλοπή εκατομμυρίων δολαρίων από τράπεζες και cryptocurrency exchanges.
Όπως επεσήμανε η Cyberscoop, είναι η πρώτη φορά που το US Cyber Command αναγνώρισε δημόσια μια hacking εκστρατεία από τη Βόρεια Κορέα. Αυτό μπορεί να οφείλεται στο γεγονός ότι οι hackers της συγκεκριμένης χώρας πραγματοποιούν όλο και πιο συχνά επιθέσεις και γίνονται όλο και μεγαλύτερη απειλή.
