Cyber-spionaggio: attacco mirato alla Corea del Nord

Mag 05, 2017 Marco Schiaffino Attacchi, News, RSS 0

L’operazione scoperta dal gruppo Talos di Cisco. I cyber-spioni utilizzano un trojan che gli ha permesso di rimanere nell’ombra per tre anni.

Nessuno si è ancora azzardato a ipotizzare che ci sia la mano della CIA, ma l’operazione di spionaggio che ha preso di mira diversi soggetti coinvolti a vario titolo con la Corea del Nord lasciano pensare che gli autori di questa azione abbiano per lo meno un “forte interesse” nei confronti del regime di Kim Jong-un.

Come spiegano in un rapporto i ricercatori del gruppo Talos di Cisco, i pirati informatici hanno utilizzato un classico schema di spear phishing e un malware che è stato modificato almeno per tre volte nel corso del tempo.

In tutti i casi individuati, i cyber-spioni hanno sfruttato come vettore di attacco un file in formato .SRC allegato a un messaggio di posta elettronica che contiene un malware battezzato con il nome di Konni.

La prima versione identificata è stata utilizzata in un attacco del 2014. In questo caso il file .SRC contiene due file: uno è un’innocua immagine che raffigura un tempio del Myanmar, l’altro è un eseguibile (svchost.exe) che viene copiato e attivato sul sistema.

La fotografia è usata come esca e viene regolarmente visualizzata sul computer. In background, però, viene installata la backdoor che consente di rubare informazioni dal PC.

Alla prima installazione, questa versione di Konni si limita ad assegnare un identificativo al computer infetto inserendo il dato nel registro di sistema alla voce HKLM\Software\Microsoft\Windows NT\CurrentVersion\InstallDate. Invia poi un segnale al server Command and Control e rimane in attesa di istruzioni.

Il trojan comprende solo funzioni basilari, che gli consentono di rubare informazioni dal blocco degli appunti, registrare tutto ciò che viene digitato sulla tastiera e di rubare informazioni (cookie e profili) da Chrome, Firefox e Opera.

Nell’attacco del 2016 i pirati informatici hanno modificato il loro modus operandi, utilizzando come esca due documenti Word il cui contenuto faceva riferimento alle tensioni tra Stati Uniti e Corea del Nord. I file, uno in lingua inglese e l’altro in russo, avevano come titolo “La bomba all’idrogeno della Corea del Nord può cancellare Manhattan”.

L’uso di un classico documento di propaganda è senza dubbio un metodo efficace per non suscitare sospetti nel destinatario. Soprattutto se si tratta di un dirigente nord-coreano.

In questo secondo attacco, oltre alla tecnica di social engineering, i pirati hanno cambiato anche l’architettura del malware. La versione di Konni analizzata dai ricercatori di Talos ha infatti un livello di complessità più elevato e installa sul sistema del computer infetto due file distinti: conhote.dll e winnit.exe.

Le funzionalità del malware, in ogni caso, rimangono invariate. A differenza della precedente versione, però, quella del 2016 è in grado di funzionare anche se l’utente infetto non usa un account con privilegi di amministratore.

L’ultimo attacco rilevato risale allo scorso aprile 2017 e, in questo caso, l’esca è rappresentata da un documento di testo che contiene informazioni (email, numeri di telefono e indirizzi) riguardanti numerosi uffici di organizzazioni internazionali come l’UNICEF, le Nazioni Unite e alcune ambasciate collegate alla Corea del Nord.

L’ultima versione di Konni, come spiegano gli analisti di Cisco, è decisamente più evoluta rispetto alle precedenti e integra nuove funzioni, come la possibilità di catturare schermate dal computer infetto, scaricare file da Internet ed eseguire comandi in remoto.

Gli analisti, secondo cui la rete di spionaggio sarebbe attualmente attiva, non si sbilanciano nell’attribuzione dell’attacco. Nelle loro conclusioni, però, fanno notare che i documenti allegati alle email infette dello scorso aprile contenevano informazioni “sensibili” non propriamente accessibili a tutti. C’è bisogno di aggiungere altro?

Condividi l'articolo