Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

La guerra elettronica (EW) tra USA, Cina, Sud e Nord Corea (seconda parte)

Autore: Olivia Terragni

Data Pubblicazione: 13/12/2021

Dato che gli attacchi informatici nordcoreani non sono una minaccia futura, ma già un DATO DI FATTO, ci si chiede già come affrontare le elezioni del prossimo presidente della Corea del Sud. Per cominciare il comando delle forze armate della Repubblica di Corea (CFC) e gli Stati Uniti dovranno ideare una strategia per scoraggiare gli attacchi informatici.

La prima parte di questo articolo la trovi qui: La guerra informatica della Corea del Nord e il suo esercito cyber (prima parte)

Advertisements

Quali saranno le mire? La Corea del Nord è in grado di dispiegare tecnologie avanzate, e gli obiettivi principali sono le infrastrutture critiche: la forza militare in grado di respingere gli attacchi è assodata ma va migliorata e contemporaneamente dato l’aumento in Sud Corea di attacchi contro istituti, organizzazioni governative e difesa lascia pensare che i prossimi obiettivi – inclusi la disinformazione e attacchi alla governance democratica – potrebbero essere impianti elettrici ed energetici, i centri per il controllo del traffico e i principali uffici governativi. Il fattore umano rimane l’anello debole della catena con l’assenza di una leadership informata al posto di Comando al Nord. Questa “guerra” infatti, dipende proprio dalle capacità tecniche dei suoi operatori anche in ambito predittivo, dove i dati, la trasparenza e la tracciabilità saranno elementi importanti.

La Corea del Nord, infatti, utilizzerà tutti gli aspetti dell’EW per attaccare il nemico prima che i colpi vengano effettivamente sparati sul campo di battaglia.

Il cyber esercito della Nord Corea

Cina e Corea del Nord in modo dissimile stanno rafforzando le loro armate cyber. La Cina sta cercando di formare “hacker statali” per lo spionaggio internazionale, tramite specifiche scuole tra cui una nuova base a Wuhan che è in grado di formare e certificare 70.000 persone all’anno in materia di sicurezza informatica. Questo ci fa pensare ad un futuro aumento delle campagne.

La prima ha però iniziato un grande programma anti-corruzione anche in materia hacking per mano del Presidente Xi, la seconda invece forse è l’unica nazione al mondo nota per condurre attività di hacking apertamente criminali per guadagno monetario. Il suo processo di addestramento assomiglia molto a quello russo adottato per “assumere e allenare i campioni olimpionici”, solo che le olimpiadi coreane sono quelle di matematica, qui si allena il cervello sopra ad ogni cosa a partire dal liceo per finire alla Kim Chaek University of Technology oppure alla Kim Il Sung University.

Advertisements

Dopo la laurea, vengono assegnati all’unità di guerra informatica del General Bureau of Reconnaissance per lavorare come hacker. A tutti gli effetti, ransomware e furti di criptovalute a parte, la Corea del Nord usa le tastiere al posto delle pistole.

La parte più agghiacciante la prende l’Enemy Collapse Sabotage Bureau, un nome una promessa che sembra poter schiacciare il nemico pigiando un bottone e si occupa di raccogliere informazioni interne e tattiche.

Il Bureau 121o Cyber ​​Warfare Guidance Unit

L’esercito cyber della Corea del Nord – che fa capo al Bureau 121o Cyber ​​Warfare Guidance Unit – sembra contare circa 1.000 esperti in locale e altre 6mila reclute (forse di più al momento) sparse nel mondo – Bielorussia, Malesia, Cina e Russia – la maggior parte in Cina e in parti del sud-est asiatico secondo Moriuchi, (Recorded Future), che ha passato anni a monitorare i metadati degli utenti Internet nordcoreani.

Ecco i guerrieri di Kim Jong Un per “una nazione forte e prospera” che sono addetti alla guerra informatica secondo il rapporto del governo USA 7-100 US Army Techniques Publication (ATP) 2020. A tutti gli effetti gli hacker in Nord Corea fanno parte delle forze militari, ed hanno strategie ben precise: attacchi preventivi a sorpresa, tattiche di guerra lampo basate su battaglie rapide e decisive e guerra ibrida, quella che si svolgeva tra il fronte e i tunnel sotto terra ma che oggi è diventata informatica. Non per nulla questo paese è famoso per per aver allevato – in tutti i sensi – specialisti in cyber terrorismo sin dagli anni ’90.

Advertisements

“La Cyberwarfare è una spada multiuso che garantisce la spietata capacità di attacco delle forze armate popolari nordcoreane, insieme alle armi nucleari e ai missili”.

Kim Jong-un (2013)

Il rapporto North Korean Tactics sull’Esercito popolare Coreaneo (KPA) e le sue tattiche militari, contiene preziose informazioni sulla sua capacità nella guerra elettronica, mentre il rapporto North Korean Cyber Activity elenca nel 2021 i

profili degli attori delle minacce APT, di cui sono stati riportati i profili alla fine dell’articolo.

“…i rapporti sulle intuizioni dell’Esercito popolare coreano della RPDC hanno collegato Lazarus Group, Bluenoroff e Andariel all’unità di guida alla guerra informatica della RPDC Bureau 121”

Xueyin Peh, senior intelligence sulle minacce informatiche analista presso Digital Shadows.

Advertisements

Indipendentemente dai loro nomi, i rapporti sulle intuizioni dell’Esercito popolare coreano della RPDC hanno collegato Lazarus Group, Bluenoroff e Andariel all’unità di guida alla guerra informatica della RPDC Bureau 121 con 4 suddivisioni principali, tre dedicate alla guerra informatica e una alla guerra elettronica:

  • Andariel Group, minaccia persistente avanzata (APT), (1600 membri?), “la cui missione è raccogliere informazioni – mappando la rete nemica- conducendo ricognizioni sui sistemi informatici nemici e creando una valutazione iniziale delle vulnerabilità della rete”.
  • Bluenoroff Group, (1700 membri?), “la cui missione è condurre crimini informatici finanziari concentrandosi sulla valutazione a lungo termine e sfruttando le vulnerabilità della rete nemica”.
  • Electronic Warfare Jamming Regiment, un’unità militare classica (tra 2.000 e 3.000 membri) responsabile del disturbo delle apparecchiature elettroniche. Che si ritiene operi dalle basi militari di Kaesong, Haeja e Kumgang.
  • Lazarus Group? (numero membri sconosciuto), che crea caos sociale attaccando le vulnerabilità della rete nemica.

Dato però che le informazioni sulle forze hacker nordcoreane sono difficili da ottenere, determinare il ruolo all’interno della nazione sarebbe ancora più difficile. Facile però è portare gli investigatori su una falsa pista, se non viene trovato uno schema studiandone metodi e strumenti.

Lazarus, Bluenoroff e Andariel

I collegamenti tra Lazarus e la Corea del Nord rimangono poco chiari, e non ci sono prove definitive che sia un gruppo sponsorizzato dallo stato. Se pur vero è che alcuni del gruppo lavorino dalla Cina, possa includere membri coreani, FlashPoint ha analizzato le note di riscatto – in 28 lingue – di WannaCry – dove ci sarebbero le impronte di Lazarus – e tra i suoi autori ha incluso nativi cinesi che usavano un software di traduzione.

“È del tutto possibile che il gruppo Lazarus non sia interamente composto da attori nordcoreani, ma possa anche avere membri cinesi”. Jon Condra, direttore della ricerca Asia-Pacifico presso la società di sicurezza informatica Flashpoint.

Advertisements

Lazarus

Quindi rimaniamo un attimo in Cina e nel Sud-Est asiatico dove si troverebbero le tane del famigerato gruppo Lazarus con la sua fabbrica di malware. Ebbene quel che si sa su questo gruppo è puramente speculativo. Mercenari o meno, il loro attacco a Sony fu contestato dalla Corea del Nord. La stessa FBI ha affermato che la sua analisi non può supportare l’attribuzione diretta di uno stato-nazione. Questo significa che non ci sono prove conclusive.

Che cosa è Lazarus? Un gruppo affiliato con la Corea del Nord, un’operazione secondaria indipendente, del tutto indipendente o collettivo cyber-mercenario occasionale? Alcune sue campagne – rivela Beau Woods, vicedirettore della Cyber ​​Statecraft Initiative presso il Consiglio Atlantico, suggerirebbero un avversario meno qualificato di quello che ci si potrebbe aspettare da un gruppo che ha il pieno sostegno statale.

Una traccia importante è stata rilevata da Kaspersky nel 2018, che ha affermato che il livello di accuratezza del gruppo che non si trova nel mondo dei criminali informatici è “qualcosa che richiede un’organizzazione e un controllo rigorosi in tutte le fasi dell’operazione”. Si tratta di un processo che richiede molti soldi per continuare a gestire l’attività, motivo per cui la comparsa del sottogruppo Bluenoroff all’interno di Lazarus ha una sua logica.

Bluenoroff

si è concentrato solo sugli attacchi finanziari, ponendosi come una delle minacce maggiori al settore bancario, alle società finanziarie e commerciali, nonché ai casinò. Ai due – come per formare una costellazione – si aggiunge il gruppo Andariel, sanzionato dal Dipartimento del Tesoro degli Stati Uniti nel settembre 2019 per attività cibernetiche ostili su infrastrutture vitali e accusato di avere tentato di rubare i dati delle carte bancarie in passato hackerando gli sportelli automatici per acquisire contanti o vendendo i dati dei clienti sul mercato nero.

Advertisements

Ancora, il gruppo Lazarus ha una relazione con l’operazione botnet russa più sofisticata e piena di risorse del panorama e si sospetta che abbia legami anche con l’Europa Orientale e i ricercatori della BAE hanno scoperto che gli operatori di TrickBot, hanno comunicato con un server controllato da Lazarus solo un paio d’ore prima che lo stesso server venisse utilizzato per entrare nella rete interbancaria cilena nel 2020.

Distinguere e classificare i diversi gruppi risulta abbastanza difficile poichè tra loro condividono tra loro codici, infrastrutture e malware, anche se ogni gruppo APT è progettato per rivolgersi a un settore specifico. I collegamenti poi per quanto riguarda Andariel rimangono oscuri. Tornando a Lazarus, si concentra principalmente sui governi della Corea del Sud e degli Stati Uniti e sulle organizzazioni finanziarie di quei paesi, mentre il Bureau 325 è noto per prendere di mira le principali aziende di biotecnologia, istituti di ricerca ed enti governativi.

Il gruppo APT38 si concentra principalmente su banche, istituti finanziari e scambi di criptovalute: si tratta di un gruppo esteso e con grandi risorse, che dal 2014 ha condotto operazioni in più di 16 organizzazioni in almeno 13 paesi, a volte contemporaneamente, condividendo secondo Mandiant, codici malware e altre risorse di sviluppo con l’attività di spionaggio informatico nordcoreano TEMP.Hermit.

I profili i degli attori delle minacce APT nordcoreani

I profili sono riportati nel rapporto sull’attività informatica della Corea del Nord, pubblicato il 25 marzo 2021 dal programma HHS Cybersecurity, ufficio per la sicurezza delle informazioni.

Advertisements

Bureau 121: N/A

Sospetta attribuzione: RPDC, Reconnaissance General Bureau

Target: principali aziende biotecnologiche, produttori farmaceutici, istituti di ricerca, aziende IT e organizzazioni governative in Corea del Sud, Cina e Stati Uniti.

Panoramica: il Bureau 121 è considerato l’unità di guida alla guerra informatica della RPDC e coordina la maggior parte delle operazioni informatiche. Secondo quanto riferito, ci sono oltre 6.000 membri nel Bureau 121, molti dei quali operano in altri paesi, come Bielorussia, Cina, India, Malesia e Russia. Ci sono quattro unità subordinate sotto l’Ufficio 121: il Gruppo Andariel, il Gruppo Bluenoroff, un Reggimento Jamming di guerra elettronica e il Gruppo Lazarus.

Malware associato: N/D

Advertisements

Vettori di attacco: N/A

Bureau 325: 325 국 ( Cerium?)

Sospetta attribuzione: RPDC, Reconnaissance General Bureau

Settori target: principali aziende biotecnologiche, produttori farmaceutici, istituti di ricerca, aziende IT e organizzazioni governative in Corea del Sud, Cina e Stati Uniti.

Panoramica: istituito il 3 gennaio 2021 sotto il Reconnaissance General Bureau (RGB) (coreano: 정찰총국) riceve istruzioni dirette da Kim Jong Un. Il gruppo si concentra principalmente sul furto di informazioni sulla tecnologia dei vaccini relativa al COVID-19 ed è composto da hacker di varie unità informatiche esistenti della RPDC e da neolaureati in informatica e informatica. Secondo quanto riferito, l’unità è composta da cinque squadre: con tre istituti di ricerca all’estero (incaricati di rubare informazioni) e due centri di ricerca all’interno del paese (che analizzano i dati hackerati).

Advertisements

Malware associato: Sconosciuto

Vettori di attacco: Sconosciuto

Lazarus: Hidden Cobra, Guardians of Peace, ZINC, NICKEL ACADEMY

Sospetta attribuzione: Repubblica Popolare Democratica di Corea

Target: finanza, aerospazio e difesa, produzione, sanità, banche, telecomunicazioni, media

Advertisements

Panoramica: il gruppo ha preso di mira e compromesso una serie di vittime dal 2009, con conseguente esfiltrazione di dati, mentre altri attacchi sono stati di natura distruttiva. È probabile che continuino a utilizzare le operazioni informatiche per far avanzare gli obiettivi militari e strategici del loro governo. HIDDEN COBRA è noto per una campagna di attacchi DDoS coordinati contro i media sudcoreani, le infrastrutture finanziarie e critiche nel 2011, così come la Sony Breach nel 2014 e vari attacchi di criptovaluta nel 2017. Lazarus non rivela molto su se stesso e quel poco che si sa del gruppo è speculativo, ma dalle analisi emerge un’immagine agghiacciante – per certi versi affascinante – di un gruppo di mercenari tenaci e motivati da un misto di obiettivi politici e finanziari.

Malware associato: Copperhedge, Taintedscribe, Pebbledash, Destover, Wild Positron/Duzer, Hangman, DeltaCharlie, WannaCry, RawDisk, Mimikatz, BADCALL, Volgmer, FALLCHILL, HOPLIGHT, FASTCash

Vettori di attacco: vulnerabilità di Adobe Flash Player e Hangul Word Processor (HWP), ingegneria sociale e phishing con offerte di lavoro false tramite LinkedIn e WhatsApp, e-mail di spear phishing contenenti vulnerabilità dannose di Microsoft Word, vulnerabilità zero day

Andariel: Silent Chollima, Dark Seoul, Rifle, Wassonite Sospetto attribuzione: RPDC, Bureau 121

Target: governo e esercito sudcoreani, imprese estere, agenzie governative, infrastrutture di servizi finanziari, società e imprese private

Advertisements

Panoramica: Andariel è un sottogruppo del Gruppo Lazarus focalizzato principalmente sullo spionaggio informatico. Dal 2009 ha effettuato numerose operazioni contro l’industria della difesa, principalmente in Corea del Sud e si è concentrato sulla conduzione di operazioni informatiche dannose su aziende straniere, agenzie governative, infrastrutture di servizi finanziari, società private e aziende. Si ritiene inoltre che Andariel conduca intrusioni informatiche per motivi finanziari.

Malware associato: Aryan, Gh0st RAT, Rifdoor, Phandoor, Andarat

Vettori di attacco: ActiveX, vulnerabilità nel software locale in Corea del Sud, attacchi watering hole, spear phishing (macro), prodotti di gestione IT (antivirus, PMS), catena di fornitura (installatori e aggiornamenti)

APT37: Ricochet Chollima, Group 123, Reaper, THALLIUM, ScarCruft

Sospetta attribuzione: Repubblica Democratica Popolare di Corea (RPDC)

Advertisements

Target: principalmente Corea del Sud, ma anche Stati Uniti, Giappone, Vietnam e Medio Oriente, in vari settori verticali, tra cui prodotti chimici, elettronica, manifatturiero, bancario, aerospaziale, automobilistico e sanitario

Panoramica: presunto gruppo di spionaggio informatico sponsorizzato dallo stato nordcoreano attivo almeno dal 2012. Il gruppo ha precedentemente utilizzato una serie di exploit zero-day per eseguire attacchi contro vittime di interesse per il governo nordcoreano, in linea con le priorità del controspionaggio.

Malware associato: APT37 utilizza una suite diversificata di malware per l’intrusione iniziale e l’esfiltrazione. Il loro malware è caratterizzato da un focus sul furto di informazioni dalle vittime, con molti impostati per esfiltrare automaticamente i dati di interesse. APT37 ha anche accesso a malware distruttivo. Alcuni includono DOGCALL, RUHAPPY, CORALDECK, SHUTTERSPEED, WINERACK e diversi exploit 0-day Flash e MS Office.

Vettori di attacco: tattiche di ingegneria sociale su misura per gli obiettivi desiderati, compromissioni web strategiche tipiche delle operazioni di spionaggio informatico mirate e l’uso di siti di condivisione file torrent per distribuire malware in modo più indiscriminato.

Advertisements

APT38: BlueNoroff, Stardust Chollima, BeagleBoyz, NICKEL GLADSTONE

Sospetta attribuzione: RPDC, Reconnaissance General Bureau Settori target: banche, istituzioni finanziarie, exchange di criptovalute

Panoramica: finanziariamente motivato che è sostenuto dal regime nordcoreano e si rivolge principalmente a banche e istituzioni finanziarie, prendendo di mira più di 16 organizzazioni in almeno 13 paesi almeno dal 2014. I fondi rubati dall’APT38 sono probabilmente incanalati nei programmi di sviluppo missilistico e nucleare della RPDC. È noto che APT38 condivide malware e altre risorse con TEMP.Hermit. Nel febbraio 2021, tre membri dell’APT38 sono stati incriminati dal Dipartimento di Giustizia degli Stati Uniti.

Malware associato: DarkComet, Mimikatz, Net, NESTEGG, MACKTRUCK, WANNACRY, WHITEOUT, QUICKCAFE, RAWHIDE, SMOOTHRIDE, TightVNC, SORRYBRUTE, KEYLIME, SNAPSHOT, MAPMAKER, net.exe, sysmon, BOOTWRECK, CLEANTOAD, Hermes , ELECTRICFISH, PowerRatankba, PowerSpritz

Vettori di attacco: compromissione drive-by, schemi di watering hole, sfruttamento di una versione obsoleta non sicura di Apache Struts2 per eseguire codice su un sistema, compromissione web strategica, accesso a server Linux

Advertisements

TEMP.HERMIT: N/A

Sospetta attribuzione: RPDC, Lab 110, 6th Technical Bureau of the Reconnaissance General Bureau (RGB)

Target: principalmente istituzioni governative, della difesa, dell’energia e finanziarie in Corea del Sud, nonché obiettivi in ​​tutto il mondo allineati con gli affari della RPDC, compresi gli Stati Uniti

Panoramica: TEMP.Hermit è un gruppo di attività di spionaggio informatico monitorato da FireEye attivo almeno dal 2013. Il gruppo si rivolge principalmente ai settori del governo, della difesa, dell’energia e della finanza in Corea del Sud, ma conduce anche operazioni contro obiettivi allineati in tutto il mondo con gli affari nordcoreani. Si ritiene che TEMP.Hermit condivida significative risorse di sviluppo con APT38.

Malware associato: MONKEYCHERRY, FALLCHILL

Advertisements

Vettori di attacco: spear phishing, organizzazioni di facciata situate principalmente nel nord-est della Cina

TEMP.Firework: N/A

Sospetta attribuzione: RPDC

Target: governi, gruppi di riflessione e università; principalmente negli Stati Uniti e in Corea del Sud, ma anche in Australia, Italia, India, Giappone, Hong Kong, Ungheria e Filippine.

Panoramica: TEMP.Firework si rivolge principalmente a governi, gruppi di riflessione e università incentrati su questioni strategiche della RPDC come la sicurezza nucleare, la non proliferazione e le capacità militari degli Stati Uniti e della Corea del Sud. Il gruppo opera in genere tra le 07:00 e le 19:00 KST (GMT +9) dal lunedì al venerdì ed è stato osservato solo una volta che opera al di fuori di questo programma. In alcune operazioni recenti, TEMP.Firework è stato chiamato per le campagne informatiche che hanno portato alle elezioni statunitensi del 2020 e ha condotto lo spear phishing per ottenere l’accesso a più aziende farmaceutiche e centri medici.

Advertisements

Malware associato: LATEOP, TROIBOMB, Mshta, TeamViewer, Mimikatz, LOGCABIN e comandi Windows integrati

Vettori di attacco: e-mail di spear phishing, credenziali rubate

Kimsuky: Velvet Chollima, Gruppo G0094

Sospetta attribuzione: Corea del Nord (RPDC)

Target:.individuato da Proofpoint in tre gruppi separati – TA406, TA408 e TA427 – prende di mira entità di interesse per il governo nordcoreano, quindi enti governativi in ​​Corea del Sud, Giappone e Stati Uniti, nonché università con competenze di ingegneria biomedica.

Advertisements

Panoramica: il gruppo Kimsuky APT è molto probabilmente attivo dal 2012 ed è molto probabilmente incaricato dal regime nordcoreano di una missione di raccolta di informazioni globali. Kimsuky ha riutilizzato le infrastrutture delle precedenti campagne in passato. Si tratta di un gruppo altamente motivato che prende di mira un certo numero di entità in Corea del Sud con attacchi mirati, anche distruttivi.

Malware associato: BabyShark, GREASE, Win7Elevate, malware per documenti HWP, estensione dannosa di Google Chrome

Vettori di attacco: Kimsuky utilizza tattiche comuni di ingegneria sociale, spear phishing e attacchi di watering hole per estrarre le informazioni desiderate dalle vittime.