Η CISA δημοσίευσε μια προειδοποίηση σχετικά με ένα νέο malware, το BLINDINGCAN, που χρησιμοποιείται από hackers της Βόρειας Κορέας.
Αυτό το νέο κακόβουλο λογισμικό εντοπίστηκε σε επιθέσεις που στόχευαν αμερικανικές και ξένες εταιρείες, που δραστηριοποιούνται στον τομέα της στρατιωτικής άμυνας και της αεροδιαστημικής. Οι επιθέσεις αυτές έχουν αναφερθεί και σε εκθέσεις της McAfee και της ClearSky.
Σε όλες τις επιθέσεις, οι hackers της Βόρειας Κορέας εμφανίζονταν ως υπεύθυνοι πρόσληψης προσωπικού μεγάλων εταιρειών, προκειμένου να προσεγγίσουν υπαλλήλους στις επιθυμητές εταιρείες.
Οι υπάλληλοι-στόχοι καλούνταν να περάσουν από μια διαδικασία συνέντευξης, κατά την οποία λάμβαναν κακόβουλα έγγραφα Office ή PDF, που χρησιμοποιούσαν οι hackers της Βόρειας Κoρέας για να εγκαταστήσουν malware στους υπολογιστές των θυμάτων.
Το τελικό payload σε αυτές τις επιθέσεις είναι το επίκεντρο της ειδοποίησης της CISA. Πρόκειται για ένα trojan απομακρυσμένης πρόσβασης (RAT), που η CISA ονομάζει BLINDINGCAN (στην έκθεση της ClearSky ονομάζεται DRATzarus).
Οι ειδικοί της CISA λένε ότι οι hackers της Βόρειας Κορέας χρησιμοποίησαν το κακόβουλο λογισμικό για να αποκτήσουν πρόσβαση στα συστήματα των θυμάτων και να συλλέξουν πληροφορίες σχετικά με βασικές στρατιωτικές και ενεργειακές τεχνολογίες.
Αυτό ήταν δυνατό μέσω των εξελιγμένων δυνατοτήτων του BLINDINGCAN, που επιτρέπουν τα εξής:
- Ανάκτηση πληροφοριών σχετικά με όλους τους εγκατεστημένους δίσκους, συμπεριλαμβανομένου του τύπου δίσκου και του ελεύθερου χώρου στο δίσκο
- Λήψη πληροφοριών για την έκδοση του λειτουργικού συστήματος (OS)
- Λήψη πληροφοριών για τον επεξεργαστή
- Λήψη ονόματος συστήματος
- Λήψη πληροφοριών σχετικά με την τοπική διεύθυνση IP
- Λήψη της διεύθυνσης MAC (media access control) των θυμάτων
- Δημιουργία, έναρξη και τερματισμός μιας νέας διαδικασίας
- Αναζήτηση, ανάγνωση, εγγραφή, μετακίνηση και εκτέλεση αρχείων
- Τροποποίηση αρχείων
- Διαγραφή του κακόβουλου λογισμικού από το μολυσμένο σύστημα
Η ειδοποίηση της CISA περιλαμβάνει δείκτες παραβίασης και άλλες τεχνικές λεπτομέρειες που μπορούν να βοηθήσουν τους διαχειριστές συστημάτων και τους επαγγελματίες ασφαλείας να σαρώσουν τα δίκτυά τους για σημάδια μόλυνσης.
Είναι η 35η φορά που η κυβέρνηση των ΗΠΑ εξέδωσε προειδοποίηση ασφαλείας για κακόβουλη δραστηριότητα των hackers της Βόρειας Κορέας. Από τις 12 Μαΐου 2017, η CISA έχει δημοσιεύσει αναφορές για 31 malware των συγκεκριμένων hackers.
Οι κυβερνητικοί hackers της Βόρειας Κορέας είναι μια από τις πιο συχνές απειλές που έχουν στοχεύσει τις ΗΠΑ τα τελευταία χρόνια, μαζί με τις κινεζικές, ιρανικές και ρωσικές hacking ομάδες.
Τον Απρίλιο, το υπουργείο Εξωτερικών των ΗΠΑ ενέτεινε τις προσπάθειές του για αποτροπή των επιθέσεων της Βόρειας Κορέας, δημιουργώντας ένα πρόγραμμα ανταμοιβής ύψους 5 εκατομμυρίων δολαρίων για οποιαδήποτε πληροφορία σχετικά με τους συγκεκριμένους hackers και τις δραστηριότητές τους.
Σε μια έκθεση που δημοσιεύθηκε τον περασμένο μήνα, ο αμερικανικός στρατός αποκάλυψε ότι πολλοί από τους hackers της Βόρειας Κορέας δρουν από το εξωτερικό και όχι μόνο από τη χώρα τους.