Cyber-attacco Sharpshooter: secondo i ricercatori viene dalla Corea
Grazie alle informazioni raccolte dall’analisi di un server command-and-control (C2), coinvolto negli attacchi, alcuni ricercatori sono finalmente riusciti ad arrivare alla fonte del piano di spionaggio globale che negli ultimi tempi ha preso di mira alcune tra le strutture più vulnerabili del mondo. A quanto pare i fautori di quella che è stata ribattezza Operazione Sharpshooter sarebbero degli hacker APT coreani.
Operazione Sharpshooter: cos’è successo
L’Operazione Sharpshooter ha preso di mira istituzioni governative tra le più sensibili, quali organi della difesa, dell’energia e del nucleare, oltre che organizzazioni finanziarie sparse per il mondo. L’attacco è stato scoperto nel dicembre 2018 da alcuni ricercatori di McAfee. Lì per lì non era stato possibile trovare dei collegamenti che potessero ricondurre alla fonte dell’attacco, anche e soprattutto per via delle miriadi di false tracce sparse qua e là dagli hacker, eppure già c’era qualcosa che rimandata al gruppo hacker nord-coreano Lazarus.
Tuttavia, una recente analisi del codice che le autorità sono state in grado di “catturare” e grazie al server command-and-control (C2) summenzionato, i ricercatori sono riusciti a risalire al modus operandi della campagna di spionaggio denominata Operazione Sharpshooter, arrivando alla conclusione che solo il gruppo hacker nord-coreano poteva esserne fautore.
Secondo alcuni, il Lazarus Group, anche conosciuto come Hidden Cobra e Guardians of Peace, sarebbe sponsorizzato dal governo della Corea del Nord, e sarebbe stato collegato all’attacco ransomware WannaCry del 2017, oltre che a quello che nel 2016 ha preso di mira SWIFT Banking, e la Sony Pictures nel 2014. L’analisi avrebbe anche messo in luce la data di inizio dell’Operazione Sharpshooter, collocabile nel mese di settembre 2017, un anno prima di quanto si fosse pensato.
Vi è, però, una differenza fondamentale tra l’Operazione Sharpshooter e gli altri attacchi portati a termine dallo stesso gruppo di hacker: mentre in precedenza l’obiettivo erano aziende di telecomunicazioni, strutture governative ed economiche di diverso tipo in USA, Svizzera, Israele e altri paesi di lingua inglese, delle prove appena emerse provano come Sharpshooter invece vada a colpire infrastrutture particolarmente delicate anche in Germania, Turchia e Regno Unito.
La campagna di spionaggio mondiale si è sparsa inviando file infetti a elementi specifici, attraverso Dropbox. Una volta che questi file sono stati aperti e scaricati, il codice malevolo si fa spazio all’interno dello shellcode, e incomincia a scaricare Sharpshooter nella memoria di Microsoft Word. Successivamente, il malware Rising Sun viene scaricato: questo particolare malware sfrutta la backdoor creata dal Lazarus Group, Trojan Duuzer, un altro malware in circolazione dal 2015 e rilasciato originariamente col fine di prendere di mira alcune organizzazioni sud-coreane.
Il malware Rising Sun riconosce la sua vittima raccogliendo e criptando dati che includono indirizzo IP, nome dei diversi dispositivi, informazioni sul sistema operativo e molto altro.
“L’accesso al server command-and-control è un’opportunità molto rara. Questi sistemi offrono informazioni sul modo di operare dei gruppi hacker, il che non sempre è possibile in quanto generalmente le autorità prendono possesso di ogni prova,” afferma Christiaan Beek, ingegnere capo di McAfee. “Le informazioni ottenute attraverso l’accesso a questo codice sono indispensabili per capire quanto sempre più sofisticati stiano diventando gli attacchi hacker.”
Un’ulteriore analisi del server C2, comunque, hanno messo in luce un possibile collegamento con un gruppo africano, in quanto alcuni degli indirizzi IP, che i ricercatori sono stati in grado di localizzare, sarebbero originarie della Namibia. I ricercatori affermano: “Questo ha portato il dipartimento di ricerca avanzata di McAfee a pensare che forse gli hacker nord-coreani fautori dell’Operazione Sharpshooter avrebbero prima di tutto testato le loro tecniche e le loro “armi” in quest’area, come una sorta di anticamera per un attacco su più larga scala.”
Andrea Mori, Swascan Marketing Manager
