Si sa, oramai nel terzo millennio si va incontro a guerre virtuali dai risvolti reali e tutti i grandi Paesi stanno mettendo in campo team composti dai migliori hacker, ma alcuni Stati, specialmente dell’Est, sono già parecchio avanti, come nel caso della Corea del Nord.
Gli hacker nordcoreani sono formati all’interno del Reconnaissance General Bureau e, quando sono pronti per l’impiego, vengono mandati all’estero, preferibilmente in paesi con le infrastrutture di rete all’avanguardia, pronti ad operare per il Governo di Pyongyang, ma al contempo senza un collegamento diretto con lo Stato di provenienza, nel caso venissero scoperti.
Tra di loro, una menzione d’onore va fatta all’Unità 121, nome in codice “Lazarus” o “Hidden Cobra”, che secondo molti esperti sta dietro l’attacco attraverso il ransomware WannaCry che ha colpito oltre 300mila computer.
Lazarus si è specializzata negli attacchi nei confronti di istituti bancari, come nei casi, solo per quel che riguarda gli Stati Uniti d’America, di Wells Fargo, Citibank e New York Federal Reserve, nonché di piattaforme di scambio di criptovalute. Globalmente avrebbero guadagnato da questi attacchi oltre 650 milioni di dollari, tutti destinati al Governo di Kim Jong-un.
Come conseguenza di queste sfacciate campagne di hacking ascrivibili alla Corea del Nord, nel settembre 2019, il Dipartimento del Tesoro degli Stati Uniti ha imposto sanzioni a enti commerciali che riteneva associati a tre gruppi di hacker: i funzionari statunitensi ritengono infatti che si trattasse di società di copertura utilizzate per raccogliere fondi per programmi bellici del regime di Kim.
Recentemente però, dopo aver hackerato istituti di credito e scambi di criptovaluta, gli hacker nordcoreani hanno diversificato gli obiettivi, puntando gli occhi sui negozi online, come la catena di accessori e gioielli Claire’s, e creando e diffondendo nuovi ransomware.
Da maggio 2019 pare che i membri dell’Unità 121 si siano dedicati ad inserire codici dannosi per rubare i dettagli delle carte di pagamento con cui i consumatori fanno acquisti.
Questi e-skimming, denominati anche Magecart attack, hanno come obiettivo l’accesso al server back-end del target, ossia dello store online, alle risorse associate o ai widget di terze parti, dove possono installare ed eseguire stringhe di codice dannoso sul front-end del negozio.
Dopo aver ottenuto le password del personale dell’azienda target attraverso attacchi di spearphishing, gli esperti di Hidden Cobra caricano il codice malevolo nella schermata di pagamento, il quale registra silenziosamente i dettagli delle carte di credito nel momento in cui vengono inseriti i dati nei moduli di pagamento. Queste informazioni vengono quindi esfiltrate su di un server remoto e da lì sono raccolte e messe in vendita nel dark web.
Contemporaneamente un nuovo programma malevolo è stato creato da Lazarus. Si tratta del ransomware VHD, presente in Asia e Europa dall’inizio del 2020, ma di cui solo recentemente si sono avute notizie più attendibili, dopo alcune indagini condotte dalle società di sicurezza informatica.
Questo virus, al pari di tutti gli altri ransomware, è in grado di crittografare tutti i metadati conservati nel sistema attaccato, al fine di di estorcere una grossa somma di denaro alle vittime, chiedendo loro un lauto riscatto. In particolare si insinua nei drive collegati al computer della vittima con modalità analoghe agli attacchi APT – acronimo di advanced persistent threat -, quindi un’offensiva mirata e persistente, non puntando direttamente all’obiettivo finale ma arrivandoci per gradi, dopodiché cifra i file e cancella tutte le cartelle del System Volume Information.
La novità sta nel fatto che tale malware non è disponibile sui forum dei cybercriminali o nel deep web, bensì è stato appositamente sviluppato dai suoi utilizzatori per perpetrare attacchi strategici.
