Governo dos EUA expõe malware usado em operações de hackers patrocinadas pela Coréia do Norte

14

Jung Yeon-Je / Getty Images

O Pentágono dos EUA, o FBI e o Departamento de Segurança Interna expuseram na sexta-feira uma operação de hackers norte-coreana e forneceram detalhes técnicos para sete peças de malware usadas na campanha.

A Força Missionária Nacional Cibernética dos EUA, um braço do Comando Cibernético dos EUA do Pentágono, disse no Twitter que o malware é "atualmente usado para phishing e acesso remoto por atores cibernéticos (governo norte-coreano) para realizar atividades ilegais, roubar fundos e evitar sanções". O tweet vinculado a um postar em VirusTotal, o repositório de malware de propriedade da Alphabet, que forneceu hashes criptográficos, nomes de arquivos e outros detalhes técnicos que podem ajudar os defensores a identificar compromissos nas redes que protegem.

A assessoria de acompanhamento A Agência de Segurança Cibernética e Infraestrutura do DHS disse que a campanha foi obra de Hidden Cobra, o nome do governo para um grupo de hackers patrocinado pelo governo norte-coreano. Muitos pesquisadores de segurança do setor privado usam outros nomes para o grupo, incluindo Lazarus e Zinc. Seis das sete famílias de malware foram carregadas no VirusTotal na sexta-feira. Eles incluíram:

  • Bistromath, um trojan e implante de acesso remoto completo que realiza pesquisas de sistema, uploads e downloads de arquivos, execuções de processos e comandos e monitoramento de microfones, pranchetas e telas
  • Slickshoes, um "conta-gotas" que carrega, mas na verdade não executa, um "implante de sinalização" que pode fazer muitas das mesmas coisas que o Bistromath faz
  • Hotcroissant, um implante de sinalização completo que também faz muitas das mesmas coisas listadas acima
  • Artfulpie, um "implante que realiza o download e o carregamento e a execução na memória de arquivos DLL a partir de um URL codificado"
  • Buttetline, outro implante completo, mas este usa um esquema HTTPS falso com uma cifra de criptografia RC4 modificada para permanecer furtivo
  • Crowdedflounder, um executável do Windows projetado para descompactar e executar um Trojan de acesso remoto na memória do computador

Mas espere … tem mais

O comunicado de sexta-feira da Agência de Segurança e Segurança Cibernética e Infraestrutura também forneceu detalhes adicionais para as informações divulgadas anteriormente Hoplight, uma família de 20 arquivos que funcionam como um backdoor baseado em proxy. Nenhum malware continha assinaturas digitais falsificadas, uma técnica que é padrão entre as operações de hackers mais avançadas que facilita o desvio das proteções de segurança dos terminais.

Costin Raiu, diretor da Equipe Global de Pesquisa e Análise da Kaspersky Lab, postou uma imagem no Twitter que mostrou a relação entre o malware detalhado na sexta-feira com amostras maliciosas que a empresa de segurança com sede em Moscou identificou em outras campanhas atribuídas ao Lazarus.

Kaspersky Lab

O comunicado conjunto de sexta-feira faz parte de uma abordagem relativamente nova do governo federal para identificar publicamente hackers estrangeiros e as campanhas que eles realizam. Anteriormente, os funcionários do governo evitavam atribuir atividades específicas de hackers a governos específicos. Em 2014, essa abordagem começou a mudar quando o FBI concluiu publicamente que o O governo norte-coreano estava por trás do hack altamente destrutivo da Sony Pictures um ano antes. Em 2018, o Departamento de Justiça indiciou um agente norte-coreano por supostamente realizar o hack da Sony e liberar o Worm de ransomware WannaCry que desligou computadores em todo o mundo em 2017. No ano passado, o Tesouro dos EUA sancionou três grupos de hackers norte-coreanos amplamente acusado de ataques direcionados à infraestrutura crítica e roubou milhões de dólares de bancos em trocas de criptomoedas.

Como Cyberscoop apontou, Sexta-feira marcou a primeira vez que o Comando Cibernético dos EUA identificou uma operação de hackers norte-coreana. Um dos motivos da mudança: embora os hackers do governo norte-coreano usem malwares e técnicas menos avançadas que os de outros países, os ataques estão se tornando cada vez mais sofisticados. Novas agências incluindo a Reuters citaram um relatório das Nações Unidas de agosto passado que estimava que hackers norte-coreanos de bancos e trocas de criptomoedas geraram US $ 2 bilhões para os programas de armas de destruição em massa do país.

Fonte: Ars Technica