Hacker nordcoreani rubano fondi di exchange di criptovalute in Corea del Sud

L'agenzia statunitense di cybersecurity Recorded Future ha pubblicato un rapporto che collegherebbe il gruppo di hacker nordcoreani Lazarus a molteplici attacchi e violazioni di sicurezza di exchange in Corea del Sud.

In un documento dal titolo "La Corea del Nord Ha Minacciato i Possessori di Criptovalute Sudcoreani nel Tardo 2017", gli investigatori dell'agenzia affermano che lo stesso tipo di malware usato per le violazioni di Sony Pictures ed il ransomware WannaCry sono stati utilizzati per attaccare anche Coinlink, un exchange di criptovalute in Corea del Sud.

"Gli agenti statali nordcoreani, in particolare Lazarus Group, hanno bersagliato più volte utenti ed exchange sudcoreani nel tardo 2017, prima del discorso di fine anno di Kim Jong Un che ha poi aperto il dialogo tra nord e sud. Il malware condivideva il codice con un altro virus, Destover, il quale venne usato contro Sony Pictures Entertainment nel 2014 e contro la prima vittima dell'attacco WannaCry nel febbraio del 2017", continua il testo.

Rubati 7 milioni di dollari da Bithumb

Nel febbraio 2017, Bithumb, il secondo exchange di criptovalute più grande al mondo per quantità di transazioni giornaliere, divenne vittima di una violazione di sicurezza che portò alla perdita di circa 7 milioni di fondi degli utenti, principalmente Bitcoin e la moneta nativa di Ethereum, Ether.

Il rapporto rilasciato da Recorded Future pone in evidenza che la falla di sicurezza potesse essere collegata a hacker nordcoreani. I ricercatori di Insikt Group, un gruppo di studiosi di cybersecurity che controlla regolarmente le attività degli hacker in Corea del Nord, rivelano che Lazarus Group in particolare si sia servito di una vasta gamma di strumenti, da attacchi di spear pishing a distribuzioni di malware attraverso le piattaforme di comunicazione, per ottenere l'accesso ai portafogli e agli account legati alle criptovalute.

I professionisti di Insikt Group hanno dichiarato che gli hacker di Lazarus Group avevano avviato un attacco di massa durante l'autunno del 2017, e da allora gli hacker nordcoreani si sono concentrati sul diffondere il virus allegando file contenenti codice fraudolento per ottenere l'accesso ai dispositivi degli utenti.

Uno dei metodi attuati da Lazarus consisteva nella distribuzione di file Hangul Word Processor (HWP), l'equivalente sudcoreano dei documenti Microsoft Word, tramite email e con virus allegati. Qualora fosse stato scaricato da un utente si sarebbe installato in totale autonomia e avrebbe operato in backgroud, prendendo controllo o manipolando i dati contenuti nel dispositivo.

CVE

 

"Nel 2017 la Corea del Nord è salita a bordo del carro delle criptovalute, e la prima operazione conosciuta nel settore è avvenuta nel mese di febbraio, con un furto di 7 milioni (all'epoca) in criptovalute dall'exchange sudcoreano Bithumb. Per la fine del 2017, diversi esperti hanno confermato ulteriori attacchi di spear pishing ai danni degli exchange sudcoreani, più numerosi furti e persino mining di Bitcoin e Monero", continuano i ricercatori di Insikt Group.

 

Motivazioni degli hacker nordcoreani

Prima del rilascio del report di Recorded Future, diverse altre agenzie di cybersecurity avevano accusato gruppi di hacker nordcoreani di aver preso di mira le piattaforme di scambio in Corea del Sud tramite sofisticati malware e strumenti di pishing.

Gli studiosi di FireEye hanno riconosciuto la responsabilità di sei degli attacchi contro gli exchange a degli hacker finanziati dallo Stato in Corea del Nord. Più di recente, come riportato da Cointelegraph, gli agenti di polizia e la Korea Internet and Security Agency hanno iniziato a investigare sulle falle di sicurezza che hanno portato alla bancarotta di YouBit, una piattaforma sudcoreana per lo scambio di criptovalute.

Al tempo, gli investigatori locali hanno affermarono di aver trovato prove convincenti che collegassero le violazioni della sicurezza di YouBit agli hacker nordcoreani. Il senior analyst di FireEye, Luke McNamara ha inoltre dichiarato a Bloomberg che durante l'attacco vennero usati strumenti generalmente utilizzati dalla Corea del Nord.

"Siamo di fronte a un avversario che abbiamo visto diventare tanto capace quanto sfacciato per quanto riguarda i bersagli in grado di prendere di mira. Questa è solo la prima fase di una strategia più vasta che la Corea del Nord sta attuando almeno dal 2016, quando ha iniziato a usare tecniche tipiche dello spionaggio per concentrarsi nel furto di fondi".