Cybereason scopre nuovi strumenti di cyber-attacco nordcoreani

Nov 11 2020
a cura di Benedetta Pellegrino
I ricercatori della società israeliana hanno scoperto una suite di spyware e un ceppo di malware impiegati dal gruppo di spionaggio informatico Kimsuky, che opera per conto del regime di Pyongyang, per attaccare aziende della difesa, governi, organizzazioni internazionali e società farmaceutiche al lavoro sui vaccini anti-CoVid.
(Immagine dalla rete)
(Immagine dalla rete)

Grazie al lavoro del suo team di ricerca Nocturnus, la società israeliana Cybereason, specializzata nella protezione dagli attacchi cibernetici, ha identificato la suite di spyware KGH_SPY e il nuovo ceppo di malware CSPY Downloader, entrambi utilizzati dal gruppo di spionaggio informatico Kimsuky che opera per conto del regime nordcoreano di Kim Jong-un.

Questo gruppo ha preso di mira aziende del settore pubblico e privato di Stati Uniti, Giappone, Corea del Sud e Russia. Gli obiettivi sono principalmente società farmaceutiche e di ricerca che lavorano sui vaccini per il CoVid-19, il Consiglio di Sicurezza delle Nazioni Unite, organizzazioni governative e di difesa, oppure che si occupano di diritti umani, think tank, giornalisti che si occupano di relazioni fra le due Coree e militari sudcoreani.

Monitorando quotidianamente i diversi gruppi dediti a cyber-attacchi nel mondo, di recente abbiamo identificato una maggiore attività da parte dell’infrastruttura di attacco di Kimusky, il che ci ha portato ad avviare un’intensa indagine e alla scoperta dei nuovi strumenti di attacco”, ha dichiarato Assaf Dahan, Head of Threat Research presso Cybereason. “I gruppi di attacco nordcoreani operano anche contro obiettivi israeliani, ma poiché gli strumenti che abbiamo scoperto oggi sono nuovi e non erano conosciuti fino ad ora, la portata dei danni causati in tutto il mondo deve ancora essere completamente scoperta e credo che presto troveremo le tracce del loro operato in altri continenti e paesi.

Backdoor KGH catturato dalla piattaforma Cybereason. (Immagine dal rapporto  “Back to the future” del Nocturnus Team di Cybereason)
Backdoor KGH catturato dalla piattaforma Cybereason. (Immagine dal rapporto “Back to the future” del Nocturnus Team di Cybereason)
I risultati chiave della ricerca

La compagnia israeliana ha rilevato nel suo ultimo rapporto, dal titolo “Back to the future” (“Ritorno al futuro”), come i nordcoreani abbiano utilizzato strumenti del tutto nuovi, con capacità avanzate che non erano mai state rilevate o documentate prima. In particolare, tra i risultati chiave sono da evidenziare la scoperta della suite di spyware modulare KGH_SPY che fornisce agli hacker capacità di ricognizione, keylogging (intercettazione e cattura di tutto ciò che viene digitato sulla tastiera senza che l’utente si accorga di essere monitorato), furto di informazioni e backdoor (il metodo per bypassare l’autentificazione o il criptaggio di un sistema informatico, in modo da potervi accedere da remoto).

Quanto al nuovo malware invisibile CSPY Downloader, esso permette di verificare se il computer della vittima sia privo di strumenti di monitoraggio, eludere l’analisi e scaricare payload aggiuntivi, riducendo la possibilità per chi effettua l’attacco di essere rilevato.

I ricercatori del Nocturnus Team hanno constatato, inoltre, come il malware scoperto presenti varie somiglianze sia comportamentali che di codice con i malware di Kimsuky già noti e non venga rilevato dagli antivirus.

Inoltre, emerge che gli attori delle minacce utilizzano il backdating, anche definito timestomping, ovvero una tecnica per manipolare la data di creazione di un file allo scopo di contrastare i tentativi di analisi e le indagini forensi (Anti-Forensics). In questo caso specifico, la creazione della maggior parte dei file inviato con email di phishing risulta retrodatata al 2016, mentre i domini, dai quali sono stati inviati, risultano registrati per la prima volta fra gennaio 2019 e agosto 2020.

Va sottolineato come Kimusky, nonostante gli strumenti avanzati messi in campo, abbia utilizzato come vettori di infezione metodi semplici, per esempio le e-mail di phishing con file allegati, per penetrare nei server delle varie società.

La connessione tra le diverse componeti della suite malware KGH. (Immagine dal rapporto “Back to the future” del Nocturnus Team di Cybereason)
La connessione tra le diverse componeti della suite malware KGH. (Immagine dal rapporto “Back to the future” del Nocturnus Team di Cybereason)
Il gruppo Kimsuky

Kimsuky ha una ricca e famigerata storia di attacchi contro la Corea del Sud che risale al 2012, ma negli ultimi anni ha ampliato la sua portata a livello globale”, ha affermato Assaf Dahan, Senior Director, Head of Threat Research presso Cybereason. “La nostra più recente scoperta mostra Kimsuky che conduce campagne di spionaggio informatico mirate contro una serie di vittime tra cui governi, istituti di ricerca e gruppi per i diritti umani. Poiché il nuovo malware è abbastanza nuovo, la reale portata della minaccia che rappresenta è sconosciuta, ma dati i precedenti di Kimsuky, questo spyware potrebbe essere causa di grave preoccupazione per le organizzazioni del settore pubblico e privato.

Kimsuky (conosciuta anche come Velvet Chollima, Black Banshee and Thallium) è nota per la sua complessa infrastruttura che utilizza domini registrati gratuitamente o compromessi, oppure domini privati registrati dal gruppo. Inoltre, il Cybereason Nocturnus Team ha osservato le sovrapposizioni dell’infrastruttura operativa con il malware BabyShark – che nel 2019 aveva attaccato think tank (centri studi) statunitensi che si occupavano di sicurezza nazionale e università, sempre statunitensi – e le connessioni a malware come la backdoor AppleSeed.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *