Mentre negli Stati Uniti il Dipartimento di Giustizia formalizzava le accuse nei confronti di 3 appartenenti al collettivo nordcoreano Lazarus, il gruppo di cybercriminali autori dapprima del ransomware WannaCry nel 2017 e successivamente di VHD e degli attacchi e-skimming, denominati anche Magecart attack, nonché del tentativo di attaccare le compagnie produttrici del vaccino contro il Covid mediante campagne phishing e degli APT, Kaspersky Lab identificava nuove minacce nei confronti del settore difesa provenienti dai medesimi hacker.
Ma andiamo con ordine. L’FBI è attualmente sulle tracce di due funzionari dell’intelligence nordcoreana: Jon Chang Hyok di 31 anni, Kim Il di 27, mentre a Park Jin Hyok, di 36 anni, ha esteso le accuse di una precedente sentenza del 2018, dopo che lo scorso 17 febbraio il Dipartimento di Giustizia del Distretto Centrale della California ha accusato i tre di crimini finanziari su scala globale.
I tre uomini, appartententi al Reconnaissance General Bureau e collegati a Lazarus Group e APT-38, sono accusati di aver rubato 1300 milioni di dollari, gran parte dei quali in criptovalute, ad istituzioni finanziarie e società, reinvestendoli poi per creare e distribuire diverse applicazioni di criptovaluta dannose e per sviluppare e commercializzare in maniera fraudolenta una piattaforma blockchain.
È sempre di pochi giorni fa la notizia, proveniente dagli analisti di Kaspersky, che l’anno scorso il gruppo è stato in grado di trasferire con successo diversi gigabyte di informazioni sensibili da una rete ristretta appartenente a un’organizzazione nel settore della difesa. Gli stessi analisti hanno ammesso di esserne venuti a conoscenza solamente nel momento in cui l’azienda in questione, di cui ovviamente non hanno fatto il nome, li ha chiamati per l’assistenza necessaria.
Vyacheslav Kopeytsev, uno dei ricercatori senior di Kasperky lab, ha dichiarato che neppure loro sono a conoscenza di cosa contenessero i documenti che i cybercriminali nordcoreani hanno sottratto, ipotizzando si trattasse di dati sulla produzione di armi o attrezzature militari solo per via del core business della società in questione.
L’arma principale di Lazarus nella campagna di spionaggio è risultata essere una backdoor chiamata “ThreatNeedle”, utilizzata per spostarsi lateralmente su reti compromesse, che ha permesso loro di colpire già le compagnie del segmento difesa di oltre dieci Paesi.
L’analisi delle connessioni a un server di comando e controllo utilizzato nell’operazione mostra le connessioni dagli Stati Uniti ma, per stessa ammissione di Kaspersky, questo non implica necessariamente che vi siano aziende americane tra le vittime dell’effrazione digitale.
L’operazione pare sia nata da una massiccia campagna di phishing: le e-mail contenevano aggiornamenti covid-19 dal vicecapo di un centro medico facente parte dell’organizzazione bersaglio. Le stesse mail avevano un allegato in Word con una macro che, una volta abilitata, scaricava ed eseguiva un malware che istallava ThreatNeedle.
All’inizio di giugno 2020, un dipendente ha aperto uno degli allegati dannosi, consentendo ai membri del gruppo Lazarus di ottenere il controllo remoto dell’host infetto e da lì, raccolte le credenziali, ha scandagliato il server alla ricerca di informazioni di interesse.
In particolare, carpite le credenziali per navigare nella rete aziendale e arrivati alle workstation degli amministratori di sistema, sono riusciti ad entrare nel segmento di rete, sconnesso da internet. Ottenute le credenziali per un router virtuale utilizzato dagli amministratori, hanno riconfigurato il gateway malevolo per ospitare e distribuire malware aggiuntivo sulla rete e, con un’interfaccia web sono riusciti ad esfiltrare i dati da essa.
