Ce folosesc hackerii din Coreea de Nord ca să atace alte guverne

de: Alexandru Puiu
17 11. 2017

Hackerii din Coreea de Nord au făcut valuri în ultimii ani prin performanțele lor internaționale, chiar dacă oficialii de la Phenian au negat că sunt implicați în asemenea activități. 

La mijlocul acestei săptămâni, oficialii de la FBI și DHS (Department of Homeland Security) au publicat un raport referitor la activitatea hackerilor nord coreeni. În respectivul document, sunt detaliate două tipuri de amenințări cibernetice care au fost deja folosite în atacuri asupra anumitor agenții guvernamentale și companii importante. Se pare că au fost afectate atât firme din finanțe, aviație și telecomunicații, cât și companii media.

Pentru că nu puteau să nu lipsească niște nume sugestive, primul dintre cele două tipuri de malware este intitulat FALLCHILL (Răcoarei Toamnei). Acesta se pare că a fost folosit deja în atacuri încă din 2016 și permite hackerilor să monitorizeze și să controleze sisteme infectate de la distanță. De obicei se răspândește prin fișiere malițioase descărcate de pe diverse site-uri sau este vine la pachet cu alte infecții malware. În privința anonimității, cel mai mare avantaj al FALLCHILL e că includea un așa numit ”proxy malware”.

Acea particularitate făcea semnificativ mai dificilă identificarea răufăcătorului pentru că se putea ascunde în spatele mai multor servere din țări diferite. Cel mai des sunt folosite servere din India pentru routing, urmate de IP-uri din Iran și Pakistan.

Al doilea malware detaliat de FBI și DHS este intitulat Volgmer și pare să fi fost prima oară utilizat în 2013. Acesta punea în pericol PC-ul unei victime printr-un atac de tip phishing. În momentul în care deschideai un email aparent nevinovat și accesai un link, PC-ul îți era automat infectat.

Autoritățile americane au identificat grupurile de hackeri Lazarus și Guardians of Peace ca fiind responsabile de majoritatea atacurilor asupra infrastructurii IT a guvernului american. Alături de alte grupuri mai mici, acestea au activat încă din 2009 și din totdeauna au existat indicii că ar activa din Coreea de Nord.