Allerta Lazarus: il gruppo hacker alla ricerca di software senza patch

In una nuova campagna individuata dai ricercatori di Kaspersky, è stato possibile osservare come il gruppo di hacker noto come Lazarus prenda di mira una versione di un software con vulnerabilità segnalate ma per cui non esistono ancora patch disponibili.

Questa nuova operazione, che coinvolge un software di cui non è ancora stato rivelato il nome, è stata utilizzata dai cybercriminali come punto d’ingresso per hackerare organizzazioni e crittografare le comunicazioni Web utilizzando certificati digitali.

D’altro canto, questo modus operandi non sarebbe una novità per questo collettivo nordcoreano. Secondo il gruppo di intelligence sulle minacce Mandiant di Google, la nazione asiatica in questione utilizza “Le intrusioni informatiche per condurre sia spionaggio che crimini finanziari per proiettare potere e finanziare sia le proprie capacità informatiche che quelle cinetiche“.

Sotto la guida del leader Kim Jong-Un, la Corea del Nord è affiliata a una serie di team di hacker sponsorizzati dallo stato in patria e all’estero che raccolgono informazioni su alleati, nemici e disertori, oltre a hackerare banche e rubare criptovaluta. Le Nazioni Unite hanno precedentemente accusato lo stato nordcoreano di utilizzare i fondi rubati per finanziare i programmi missilistici e di armi nucleari a lungo raggio del paese, oltre ad arricchire i governanti del paese.

Software senza patch nel mirino degli hacker: ecco cosa si conosce di questo attacco

Nel caso specifico, gli hacker hanno implementato un malware SIGNBT per controllare la vittima, applicando uno strumento noto come LPEClient, precedentemente utilizzato contro obiettivi come ingegneri nucleari e nel settore delle criptovalute.

Kaspersky ha affermato che gli sviluppatori del software in questione sono già stati vittime più volte di Lazarus. Questa violazione ricorrente fa pensare alla presenza di un autore di minacce persistente e determinato con il probabile obiettivo di rubare prezioso codice sorgente o manomettere la catena di fornitura del software.

Seongsu Park, ricercatore capo della sicurezza presso Kaspersky, ha affermato che la continua attività del gruppo Lazarus è una testimonianza delle sue capacità avanzate e della sua incrollabile motivazione. Per Park, infatti questi hacker “Operano su scala globale, prendendo di mira un’ampia gamma di settori con una serie di strumenti diversificati. Ciò significa una minaccia continua e in evoluzione che richiede una maggiore vigilanza“.