Ryze | IT, Gadgets si Crypto

Oficialitatile guvernului au predat catre un grup de cercetatori accesul catre un server confiscat, despre care se crede ca ar fi fost folosit de catre hackerii din Coreea de Nord, pentru a lansa zeci de atacuri cibernetice anul trecut.

 

Cunoscuta ca “Operationea Sharpshooter”, serverul a fost folosit pentru a lansa atacuri malware asupra unor institutii guvernamentale, operatori de telecomunicatii sau contractori pentru proiecte de aparare nationala, atacurile fiind descoperite prima oara in luna decembrie. Hackerii trimiteau un document Word infectat, care, atunci cand era deschis, executa un cod macro si downloada o unealta de infiltrare- ca, urmata de o a doua etapa – cunoscuta sub numele de ” Rasarit de soare (Rising Sun)”, care permitea accesul pentru spionarea si furtul datelor personale din computerul victimei.

 

Principalii suspecti pentru atacuri – avand in vedere actiunile lor similare cu acestea in trecut- sunt hackerii despre care se presupune ca au legaturi in Coreea de Nord, si formeaza grupul intitulat “Lazarus”.

 

Christiaan Beek, unul dintre conducatorii grupului de cercetare si inginer principal la McAfee, declara intr-un mail trimis catre TechCrunch faptul ca posibilitatea oferita pentru a spiona din interior un astfel de server de comanda folosit de hackeri a deschis calea catre obtinerea de informatii valoroase despre cum se desfasoara aceste atacuri, acesta declarand si ca este o prima experienta unica “in toti anii sai de investigare si cercetare a amenintarilor cibernetice”.

 

Aceasta miscare a facut parte dintr-un plan mai mare care urmareste sa inteleaga mai bine modul de actiune al Coreei de Nord , despre care se stie ca este responsabila pentru atacul asupra studiourilor Sony din 2016, si pentru campania intitulata ” Vrei sa plangi ( Wanna Cry )” de atacuri ransomware din 2017, precum si pentru numeroase alte atacuri cibernetice la nivel global.

 

Potrivit ultimelor dezvaluiri, se pare ca “Operatiunea Sharpshooter” este activa de mult mai mult timp decat se credea, inceputurile sale fiind urmarite pana in 2017, iar actiunile sale sunt mult mai ample, insemnand atacuri asupra unei game mai largi de tinte, cum ar fi industrii ale unor tari, servicii financiare si infrastructuri critice din Europa, Marea Britanie si SUA.

 

Cercetatorii au descoperit ca acel server, care funtiona ca si infrastructura de comanda si control a virusului malware, a fost scris in limbajele PHP si ASP, limbaje folosite pentru construirea de site-uri si aplicatii web, din acest motiv fiind usor de folosit si de modificat. Componentele sale variau, fiecare avand un rol specific, cum ar fi downloaderul pentru unealta de infiltrare si interpretatorul de comanda, cel care opera infiltrarea “Rising Sun” printr-un server intermediar spart, care ascundea structura de comanda globala. Se pare ca hackerii au dezvoltat virusul malware Rising Sun drept o structura modulara, compusa din diferite componente adaugate de-a lungul anilor. Cercetatorii au descoperit si faptul ca, de-a lungul anilor, exista un trend evolutiv in dezvoltarea diferitelor componente, plecand de la malware-ul incipient “Duuzer”, folosit in 2015 pentru a accesa computerele din Coreea de Sud, toate componentele facand parte din aceasi familie de virusi malware ca si cei folositi in atacul Sony din 2016, atac atribuit de asemenea Coreei de Nord.

 

Chiar daca dovezile arata in directia grupului Lazarus, urmele gasite in fisierele de log au prezentat un lot de adrese IP care a caror sursa a fost descoperita a fi in Namibia. Este foarte posibil fie ca aceste adrese sa fie punctele din care au fost lansate atacurile sau locatii de unde s-a testat eficienta virusului, sau poate chiar momeli, pentru a induce in eroare pe oricine ar investiga atacurile.

 

Cercetarea asupra atacurilor este o descoperire importanta, deoarece actiunile pentru desconspirarea unor atacuri cibernetice sunt greoaie, din cauza eforturilor depuse de grupurile de hackeri pentru a-si ascunde urmele, si a faptului ca majoritatea folosesc coduri similare, lucru recunoscut de catre autoritati. Insa prin obtinerea accesului la un server de comanda folosit pentru astfel de atacuri, apar noi cai de a preveni si descoperi astfel de campanii pe viitor.

 

Cercetatorul sef al McAfee, Raj Samani, a declarat ca abilitatea de a avea o privire in interior “ne ofera noi perspective asupra investigatiilor in desfasurare”.

 

Preluat de pe Tech Crunch