Luca Annunziata

Luca Annunziata

Nov 16, 2017

USA, tutti i dettagli sul trojan di stato della Corea del Nord

Il DHS pubblica un documento in cui illustra le tecniche di attacco degli hacker nordcoreani. Mentre il Russiagate non sembra sgonfiarsi

In un rapporto pubblicato questa settimana, il Deparment Homeland Security (DHS) ha rese note una serie di informazioni relative a FALLCHILL: si tratta del trojan di stato impiegato dalla Corea del Nord per compiere operazioni di cyberwarfare ai danni degli Stati Uniti e non solo, gestito dal collettivo noto come Lazarus Group che è sospettato di aver eseguito una serie di attacchi ai danni di enti pubblici e aziende private occidentali.

 

Il nome che il DHS ha scelto di utilizzare per interpellare il Lazarus Group è “Hidden Cobra”: a esso vengono attribuiti attacchi ai danni di entità che operano nel campo dei media, dell’aerospaziale, istituti finanziari e persino infrastrutture critiche in non meno di 18 paesi.

Le armi di Hidden Cobra

Secondo il DHS, FALLCHILL è uno strumento abbastanza complesso capace di nascondere in parte le tracce degli attaccanti, così come infettare al suo passaggio il server e i computer con cui entra in contatto rilasciando un trojan denominato Volgmer. Attraverso una serie di proxy server distribuiti in diverse nazioni (India, Iran, Pakistan, Arabia Saudita e Taiwan le prime cinque di una lista che conta una dozzina di Paesi), FALLCHILL e Volgmer raccolgono informazioni e modificano il software a bordo dei computer infetti, sono in grado di rubare dati o impiantarne di contraffatti, così come impedire il corretto funzionamento dei sistemi che finiscono sotto il loro controllo.

 

Volgmer ha una natura sfuggente: a volte viene distribuito come eseguibile a 32bit, a volte arriva sotto forma di libreria DLL. Molto spesso sfrutta porte standard del protocollo TCP come la 8080 per comunicare con FALLCHILL (il centro di comando&controllo), operando di fatto come una vera e propria botnet.

 

Le informazioni fornite dal DHS al pubblico serviranno a due scopi: metter sull’avviso il pubblico degli addetti ai lavori, e non solo, e inoltre serviranno anche ad attrezzare adeguate contromisure per tenersi al riparo da questa minaccia. La minaccia FALLCHILL è di tipo persistente, ovvero è pensata per prendere il controllo della macchina vittima e per mantenerlo nel tempo: indispensabile, dunque, prevedere sistemi di protezione radicali per prevenire questo tipo di infezione.

Un Russiagate infinito

Quello nordcoreano non è l’unico fronte caldo per quanto attiene il cyberwarfare internazionale: negli USA in queste ore gli strascichi della vicenda Russiagate hanno spinto Google e Facebook a comunicare alle autorità di essere pronte a svolgere un ruolo attivo nelle verifiche sulla comunicazione politica a mezzo social. Un ruolo decisamente diverso da quello svolto fino a oggi, ovvero quello di semplici fornitori di servizio completamente avulsi dal monitoraggio dei contenuti che transitavano sulle rispettive piattaforme.

Un precedente che probabilmente spingerà anche altre nazioni a chiedere un impegno simile: il Regno Unito ha comunicato ufficialmente di essere stato vittima di attacchi a infrastrutture critiche, telco e anche ai mass-media. Il dito viene puntato ancora una volta contro la Russia, che sin qui ha sempre negato ufficalmente ogni coinvolgimento con attacchi di questo tipo, o con la propaganda politica in paesi stranieri. Vedremo se questo nuovo annuncio spingerà al tanto agognato canale privilegiato di comunicazione tra le intelligence: quel che si prospetta tuttavia è una rinnovata “guerra fredda”, questa volta in versione digitale, che vedrà contrapposti però non solo due blocchi bensì un numero più nutrito di oppositori.