Rapporti F-Secure: gli hacker nordcoreani lanciano una campagna di attacco globale contro l'industria delle criptovalute. Sebbene gli aggressori professionisti abbiano coperto le loro tracce, F-Secure è riuscita a ricostruire un attacco globale del cosiddetto Lazarus Group.
Gli specialisti della sicurezza informatica di F-Secure hanno pubblicato un rapporto che collega i dettagli di un attacco mirato a un'azienda del settore delle criptovalute al gruppo Lazarus. Il gruppo di hacker, che si ritiene abbia stretti legami con la Repubblica popolare democratica di Corea (RPDC), è noto per il suo approccio altamente professionale che persegue interessi puramente finanziari. Nel rapporto, collegando gli indizi e gli schemi raccolti dall'attacco con la ricerca esistente, F-Secure conclude che l'incidente verificato fa parte di una campagna globale del gruppo Lazarus. Questo è rivolto alle aziende del settore delle criptovalute di Stati Uniti, Gran Bretagna, Paesi Bassi, Germania, Singapore, Giappone e altri paesi.
Il rapporto scopre il gruppo Lazarus
Il report analizza i log, i log e altri artefatti tecnici recuperati da F-Secure durante l'indagine forense su un attacco a un'organizzazione crypto. Gli esperti di sicurezza di F-Secure hanno scoperto che i metodi di attacco sono quasi identici alle pratiche precedentemente utilizzate dal gruppo Lazarus, noto anche come APT38.
Inoltre, il rapporto include dettagli su tattiche, tecniche e procedure (TTP) utilizzate durante l'attacco. Ad esempio, gli aggressori sono stati in grado di utilizzare lo "spearphishing" per sfruttare servizi esterni affidabili. In questo caso specifico, tramite la piattaforma LinkedIn è stata inviata una falsa offerta di lavoro ritagliata appositamente sul profilo del destinatario.
Attacchi simili in almeno 14 paesi
Sulla base degli artefatti di phishing recuperati dopo l'attacco del gruppo Lazarus, i ricercatori di F-Secure sono stati in grado di collegare l'incidente a una vasta campagna in corso da gennaio 2018. Secondo il rapporto, artefatti simili sono stati rilevati in attacchi in almeno 14 paesi: Stati Uniti, Cina, Gran Bretagna, Canada, Germania, Russia, Corea del Sud, Argentina, Singapore, Hong Kong, Paesi Bassi, Estonia, Giappone e il Filippine.
Il gruppo Lazarus ha fatto di tutto per aggirare le difese dell'azienda colpita durante l'attacco. Ad esempio, è stato in grado di disabilitare il software antivirus sugli host compromessi e rimuovere qualsiasi prova delle sue attività lasciata. E mentre il rapporto caratterizza l'attacco come altamente professionale, indica che gli sforzi del gruppo Lazarus per coprire successivamente le proprie tracce non sono stati sufficienti. Numerosi indizi nascosti e irrisolti hanno infine fornito a F-Secure prove evidenti delle attività degli aggressori.
Risposta agli incidenti, rilevamento e risposta gestiti e team di difesa tattica
“L'attacco è stato indagato da specialisti esperti dei nostri team di Incident Response, Managed Detection & Response e Tactical Defense. Si è scoperto che questo attacco aveva una serie di somiglianze con le attività note del gruppo Lazarus. Riteniamo che siano stati responsabili anche di questo attacco", ha affermato Matt Lawrence, Director of Detection and Response di F-Secure. Le organizzazioni possono ora consultare il rapporto per familiarizzare con lo specifico attacco informatico, i TTP e il Gruppo Lazarus in generale. Inoltre, vengono fornite raccomandazioni dirette sulla sicurezza per proteggersi dagli attacchi del gruppo di hacker.
Scopri di più su F-Secure.com
Informazioni su F-Secure Nessuno ha una visione migliore degli attacchi informatici reali di F-Secure. Colmiamo il divario tra rilevamento e risposta. Per fare ciò, sfruttiamo l'ineguagliabile competenza in materia di minacce di centinaia dei migliori consulenti tecnici del nostro settore, i dati provenienti da milioni di dispositivi che eseguono il nostro pluripremiato software e le continue innovazioni nell'intelligenza artificiale. Le principali banche, compagnie aeree e aziende si fidano del nostro impegno nella lotta contro le minacce informatiche più pericolose del mondo. Insieme alla nostra rete dei migliori partner di canale e oltre 200 fornitori di servizi, la nostra missione è fornire a tutti i nostri clienti una sicurezza informatica di livello aziendale su misura per le loro esigenze. Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.