Inchieste
Lazarus: Dark Seoul, Ratankba e KillDisk. Le armi cibernetiche della Corea del Nord

La guerra cibernetica in Nord Corea ha una tradizione consolidata sin dagli anni 2000 ed ha la stessa preparazione di quella militare sul campo. Abbiamo affrontato la storia dell’APT governativo più noto al mondo, denominato Lazarus, la cui storia è troppo articolata per essere affrontata in un unico articolo. Per questo motivo che, dopo aver analizzato il settennato 2007-2014, ci dedichiamo ad osservare il biennio 2015-2017.
Nel giugno 2015 WildFire ha scoperto una campagna di spionaggio informatico ritenuta “inattiva” dal giugno 2013. Gli strumenti e le tattiche scoperti, sebbene non identici alla precedente campagna di Dark Seoul, hanno mostrato somiglianze nelle loro funzioni, struttura e strumenti.
Nel marzo 2013, la Corea del Sud ha subito un grave attacco informatico, che ha colpito decine di migliaia di sistemi informatici nei settori finanziario e radiotelevisivo, soprannominato “Dark Seoul“, messo in piedi per “devastare” i sistemi operativi colpiti, pulendo i loro dischi rigidi e dopo aver cercato informazioni militari.
Si pensava che l’attacco fosse attribuito alla Corea del Nord, tramite un IP cinese trovato durante l’attacco, ma da allora non sono state prodotte altre prove evidenti del coinvolgimento della Corea del Nord. Nel giugno 2013, McAfee ha pubblicato un rapporto che descriveva in dettaglio la cronologia e le diverse declinazioni della campagna di Dark Seoul, ribattezzatandola “Operazione Troy“. Il rapporto ha analizzato una presunta campagna di attacco, iniziata nel 2009 utilizzando una famiglia di strumenti soprannominata “Troy“. McAfee ha inoltre attribuito due gruppi alla campagna: il NewRomanic Cyber Army Team e The Whois Hacking Team; entrambi i gruppi ritenuti sponsorizzati dallo stato.
Dark Seoul/Operazione Troia sono la stessa cosa?
Utilizzando la piattaforma di intelligence AutoFocus sviluppata da Palo Alto Networks, sono stati identificati diversi campioni di codice dannoso con un comportamento simile alla suddetta campagna Operazione Troy risalente a giugno 2015, oltre due anni dopo gli attacchi originali in Corea del Sud. I dati della sessione hanno rivelato un attacco in tempo reale mirato al settore dei trasporti e della logistica in Europa. L’attacco iniziale è stato probabilmente un’e-mail di spear-phishing, che sfruttava una versione trojanizzata di un eseguibile di installazione software ospitato da un’azienda del settore dei sistemi di controllo industriale. L’eseguibile modificato installava senza problemi il software del lettore video originale, ma allo stesso tempo infettava anche il sistema. Sulla base di un’analisi approfondita del comportamento del Trojan, del codice binario e di precedenti rapporti di attacchi simili, si è arrivati alla conclusione che gli strumenti erano gli stessi utilizzati negli attacchi Dark Seoul/Operazione Troy e l’attenzione è ricaduta sul gruppo Lazarus.
Il codice dannoso è stato recapitato tramite i seguenti due nomi eseguibili, impacchettati insieme in un file di archivio zip:
Player_full.exe
Player_light.exe
Entrambi gli eseguibili si presentavano come programmi di installazione offerti da una società specializzata in sistemi di controllo industriale, fornendo software di riproduzione video per soluzioni di telecamere di sicurezza. Quando uno dei campioni è stato eseguito, il malware si è insediato e successivamente ha eseguito il video player vero e proprio da cui si è camuffato.
La nuova variante del malware, definita TDrop2, procede alla selezione di un eseguibile di Microsoft Windows nella cartella system32, eseguendolo, e poi utilizza il processo dell’eseguibile legittimo come contenitore per il codice dannoso: una tecnica nota come process hollowing. Una volta eseguito con successo, il processo corrispondente tenta di recuperare quanto utile nella seconda fase, che consiste nel tentare di offuscare la sua
attività recuperando un payload apparentemente nascosto dietro un file immagine, ma che nella sostanza è un eseguibile malevolo. Il server C2 sostituisce i primi due byte, che normalmente sono ‘MZ‘, con i caratteri ‘DW‘, che possono consentire a questa attività C2 di eludere soluzioni rudimentali di sicurezza della rete e quindi aumentare la percentuale di successo del recupero.
Una volta scaricato, il dropper sosrispostatituiva i due byte iniziali prima di eseguirlo. Questa seconda fase del payload eseguiva ancora una volta il process hollowing su un eseguibile Windows selezionato casualmente che si trova nella cartella system32. Il flusso di lavoro complessivo di questo malware è stato riassunto dagli specialisti in questo modo:
- Il payload finale fornisce agli aggressori le seguenti funzionalità:
- Descrizione del comando
- 1001 Modifica URL C2
- 1003 Scarica
- 1013 Scarica/esegui malware in un altro processo
- 1018 Modifica tempo intervallo di attesa
- 1025 Scarica/esegui e restituisce la risposta
- Predefinito Esegui il comando e restituisce i risultati
Questi comandi venivano crittografati/codificati una volta che erano trasferiti sulla rete
Blockbuster: il ritorno
L’Unit42 della Palo Alto Networks ha identificato un malware con timestamp di compilazione e distribuzione che hanno codice, infrastruttura e temi che si sovrappongono alle minacce descritte in precedenza come Operazione Blockbuster, affibbiata a Lazarus e legata all’attacco del 2014 in danno della Sony Pictures Entertainment ed agli attacchi di DarkSeoul del 2013.
L’attività, identificata nel marzo 2017, prendeva di mira di lingua coreana, mentre gli attori delle minacce dietro l’attacco sembravano essere sia coreano che inglese. In questo caso sono stati identificati due file di documenti Word dannosi grazie allo strumento di “intelligence” sulle minacce AutoFocus. Non potendo essere certi di come i documenti siano stati inviati agli obiettivi, è molto probabile che l’infezione sia stata sfruttata spedendo le e-mail di phishing. Uno dei file dannosi è stato inviato a VirusTotal il 6 marzo 2017 con il nome del file “한싹시스템.doc”. Una volta aperti, entrambi i file mostravano lo stesso documento esca in lingua coreana che sembrava essere un file, considerato sicuro, che si trovava online su “www.kuipernet.co.kr/sub/kuipernet-setup.docx“.
Il file, sembrava essere un modulo di richiesta utilizzato dall’organizzazione detentrice del dominio internet. I documenti esca vengono utilizzati dagli aggressori che traggono le vittime in inganno, inducendole a pensare che il file ricevuto sia quello originale. Al momento, il malware infetta il computer, apre un file non dannoso che contiene contenuti che il bersaglio dovrebbe ricevere. Questo serve a ingannare la vittima facendogli credere che non sia successo nulla di sospetto.
Quando questi file dannosi venivano aperte da una vittima, le macro dannose di Visual Basic, Applications Edition (VBA) al loro interno scrivevano un eseguibile su disco e lo eseguono. Se le macro erano disabilitate in Microsoft Word, l’utente doveva fare clic sul pulsante “Abilita contenuto” per l’esecuzione di script VBA dannosi. In particolare, entrambi contenevano stringhe esadecimali che, una volta riassemblate e decodificate XOR, rivelano un file PE. Il file PE viene scritto su disco con un nome file codificato nella macro utilizzando la sostituzione dei caratteri.
RATANKBA
Nel corso della storia operativa del gruppo Lazarus, pochi competitor sono riusciti a eguagliare il gruppo in termini di dimensioni e impatto, in gran parte a causa dell’ampia varietà di strumenti e tattiche a disposizione del gruppo.
Il malware noto come RATANKBA è solo una delle armi nell’arsenale di Lazarus scoperto nel giugno 2017. Questo software dannoso, che avrebbe potuto essere attivo dalla fine del 2016, è stato utilizzato in una recente campagna contro le istituzioni finanziarie utilizzando attacchi di watering hole. La variante utilizzata durante questi attacchi (TROJ_RATANKBA.A) ha fornito più payload che includono strumenti di hacking e software mirati ai sistemi bancari. Dopo una analisi della variante di RATANKBA (BKDR_RATANKBA.ZAEL-A), che utilizzava uno script PowerShell invece della sua forma più tradizionale eseguibile PE, si sono identificati un gruppo di server utilizzati da Lazarus come sistema di back-end per la conservazione temporanea dei dati rubati ed i ricercatori di Trend Micro sono riusciti anche ad accedervi, ottenendo informazioni preziosissime.
Circa il 55% delle vittime della versione Powershell di RATANKBA si trovava in India e nei paesi limitrofi. Ciò implicava che il gruppo Lazarus o avrebbe potuto raccogliere informazioni sugli obiettivi in questa area territoriale o poteva essere in una fase iniziale di un attacco contro obiettivi simili.
La maggior parte delle vittime osservate non utilizzava versioni aziendali del software Microsoft. Meno del 5% delle vittime erano utenti di Microsoft Windows Enterprise, e questo lasciava intendere che il che significava che attualmente RATANKBA colpiva principalmente organizzazioni più piccole o singoli utenti e non organizzazioni più grandi. È possibile che Lazarus stia utilizzando strumenti diversi da RATANKBA per prendere di mira organizzazioni più grandi.
I log recuperati nel back-end di Lazarus registravano anche gli indirizzi IP delle vittime. Sulla base di una ricerca WHOIS inversa, nessuna delle vittime era associata a una grande banca o a un istituto finanziario, bensì dipendenti di tre società di sviluppo di software web in India e una in Corea del Sud.
RATANKBA è stato consegnato viene consegnato alle vittime utilizzando una varietà di documenti di richiamo, inclusi documenti di Microsoft Office, file CHM dannosi e diversi downloader di script. Questi documenti contenevano argomenti sullo sviluppo di software o delle valute digitali. La crescita delle criptovalute registrata negli anni è stata certamente una forza trainante di esche malevoli che, una volta aperte dal destinatario, aprivano ed eseguivano il file, rilasciando una backdoor nel sistema della vittima, comunicante con con il server Command-and-Control (C&C) di RATANKBA, le cui comunicazioni venivano eseguite tramite HTTP GET o POST al server.
Dal Pacifico all’America Latina: la minaccia è altamente distruttiva
Tra il 2017 ed il 2018 Trend Micro ha scoperto una nuova variante del KillDisk che ha cancellato i dischi rigidi ed ha preso di mira le organizzazioni finanziarie dell’America Latina, rilevato come TROJ_KILLDISK.IUB.
KillDisk, insieme a BlackEnergy, legato allo spionaggio informatico, è stato utilizzato in attacchi cibernetici alla fine di dicembre 2015 contro il settore energetico ucraino, nonché le sue industrie bancarie, ferroviarie e minerarie. Da allora il malware si è trasformato in una minaccia utilizzata per l’estorsione digitale, che colpisce le piattaforme Windows e Linux. KillDisk sovrascrive ed elimina i file e nella variante scoperta non includeva una richiesta di riscatto.
KillDisk sembrava da subito intenzionalmente diffusa da un altro processo/attaccante. Il suo percorso del file è stato codificato nel malware (c:\windows\dimens.exe), il che significava che era strettamente associato al suo programma di installazione o ad un pacchetto più grande.
KillDisk presentava anche un processo di autodistruzione, inutilizzabile nei fatti. Rinominava il suo file in c:\windows\0123456789 durante l’esecuzione. Questa stringa era codificata nel campione che abbiamo analizzato. Si aspettava che il percorso del file fosse in c:\windows\dimens.exe (anch’esso hardcoded). Se eseguita l’analisi forense del disco e ricercato il file dimens.exe, il file che verrà recuperato sarà il file appena creato con contenuto di 0x00 byte.
Questa nuova variante di KillDisk passava attraverso tutte le unità logiche (fisse e rimovibili) a partire dall’unità b:. Se l’unità logica conteneva la directory di sistema, i file e le cartelle nelle directory e sottodirectory seguenti erano esentati dall’eliminazione:
- WINNT
- Utenti
- Windows
- File di programma
- File di programma (x86)
- Dati del programma Recupero (controllo case-sensitive)
- $Cestino
- Informazioni sul volume di sistema
- Old
Prima che un file veniva eliminato, era prima rinominato in modo casuale. KillDisk sovrascriveva i primi 0x2800 byte del file e un altro blocco grande 0x2800 byte con 0x00, mentre per cancellare il il disco tentava di rimuovere \\.\PhysicalDrive0 in \\.\PhysicalDrive4. Leggeva il Master Boot Record (MBR) di ogni dispositivo che apriva con successo e procedeva a sovrascrivere i primi 0x20 settori del dispositivo con “0x00”. Utilizzava le informazioni dell’MBR per causare ulteriori danni alle partizioni che elencava. Se la partizione trovata non era estesa, sovrascriveva i primi 0x10 e gli ultimi settori del volume effettivo. Se trovava una partizione estesa, sovrascriveva l’Extended Boot Record (EBR) insieme alle due partizioni extra a cui punta.
Inchieste
ACN finalista su LinkedIn: spegnetegli i social

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.
L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.
Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.
Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.
Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.
Inchieste
Sanremo multato per il conflitto di interessi della Ferragni con Meta
Tempo di lettura: 3 minuti. Un mese a contestare i giornalisti, per aver fornito una lettura sul modo di fare affari dell’influencer, per poi ritornare a seguirne le televendite sugli organi di informazione

“Perché ce l’avete con la Ferragni?”
“Siete invidiosi per il solo fatto che lei ce l’ha fatta?”
Queste sono alcune delle opposizioni, alcune argomentate da offese, che sono giunte alla redazione per aver mostrato giornalisticamente il conflitto di interessi di Chiara Ferragni al festival di Sanremo.
L’influencer digitale, ha rinunciato al suo cachet da 50.000 € ed è stata acclamata dal grande pubblico per questa iniziativa che in realtà si è dimostrata un atto dovuto per consentire al circo Ferragnez di incamerare indisturbato maggiori introiti al Festival dando visibilità alle aziende che hanno imposto non solo una linea commerciale, bensì anche una ideologica.
Molte persone, abituate a seguire la coppia dalla mattina alla sera nelle proprie attività commerciali che vengono spacciate come contenuti giornalistici dalle testate, anche quelle più prestigiose, che si occupano anche di gossip e di spettacolo, non sono riuscite a comprendere che le denunce giornalistiche hanno riguardato una promozione “gratuita” di Instagram all’interno del festival più importante in termini di visibilità d’Italia, dimostratosi un’operazione subdola e scorretta secondo i regolamenti in vigore nella giustizia civile. Non è un caso infatti che gli autori del Festival di Sanremo hanno dapprima impostato la difesa su due livelli temporanei non riuscendo a convincere il collegio giudicante dell’AGCom. In primo luogo hanno detto che era una gag improvvisata tra l’autrice, nonché imprenditrice chiamata sul palco dell’Ariston grazie al successo ottenuto su Instagram e gli autori del format televisivo si sono detti all’oscuro compreso il conduttore e direttore artistico Amadeus. La verità ci ha messo poco a venire a galla e si è scoperto che l’evento Instagram fosse presente in scaletta e quindi nessun effetto sorpresa se non perché venduto come tale ai telespettatori della prima serata.
Successivamente, in seguito ad una scansione dei contratti pubblicitari, dove non è chiaro se fossero presenti accordi con Meta o se ci sia stata una pubblicità occulta fatta dalla Ferragni in combutta con gli organizzatori e responsabili del festival di Sanremo. Indipendentemente dalla presenza o meno di contratti, non è stato esplicato in quel momento che ci fosse un riferimento pubblicitario dovuto sia nell’uno che nell’altro caso.
In sintesi, il problema non è che Matrice Digitale o altri quotidiani sono stati invidiosi del successo della Ferragni e nemmeno che hanno “puntato”, giornalisticamente parlando, il personaggio, ma è chiaro che i dubbi sollevati contro l’influencer non solo erano motivati, ma evidenzia l’esistenza di un giornalismo che ad oggi non riesce a far comprendere la differenza tra un contenuto patinato di interesse frivolo rispetto a quello che invece rappresenta il giornalismo di informazione pura scevra da inserimenti commerciali e da pubblicità occulte.
Non riesce a mostrare oppure non può per preservare gli introiti pubblicitari a tema sui propri canali di informazione e che pagano più per contenuti simili?
Sarebbe forse il caso di rivedere il modello degli analfabeti funzionali del nostro paese, molti dei quali non hanno compreso che se hai successo nella vita dovresti dare l’esempio, soprattutto se ti vesti da rappresentante del femminismo, e invece ritengono che ci siano anche le possibilità di ottenere dei lasciapassare rispetto agli altri poveri umani che non ce l’hanno fatta e che se lo fanno notare sono automaticamente invidiosi secondo la massa che supporta il modello social. L’Autorità Garante nelle Comunicazioni ha multato il Festival di Sanremo per la pubblicità occulta, una manna dal cielo per chi è ben consapevole che Meta viene spesso trattata con i guanti di seta dal Garante Privacy che mostra sempre una linea di collaborazione, invertendo il ruolo istituzionale con quello aziendale, nonostante i cittadini italiani ed europei siano stati vittime più volte degli attacchi informatici che hanno ne hanno messo in rete i dati personali e sensibili.
Inchieste
Zuckerberg licenzia altri 10.000 dipendenti, abbandona NFT e Metaverso, e copia Telegram
Tempo di lettura: 2 minuti. Poche idee e troppi progetti ma la società ha perso credibilità nei confronti dei suoi utenti

È ufficiale, Instagram sta copiando un altro concorrente. Il CEO di Meta, Mark Zuckerberg, ha annunciato il mese scorso una nuova funzionalità su Instagram – i Canali. Questo nuovo servizio di chat consente ai creatori di condividere messaggi, sondaggi e foto con i follower al fine di stabilire una relazione più diretta con loro, simile alla funzione canali su Telegram.
Zuckerberg ha introdotto la nuova funzionalità aprendo il proprio canale, dove intende continuare a condividere aggiornamenti riguardanti Meta. Zuckerberg ha anche dichiarato che il servizio di chat arriverà su Facebook Messenger nei prossimi mesi. In seguito, verrà aggiunta anche la possibilità di aggiungere un altro creatore di contenuti al canale e aprire una sezione di domande e risposte (AMA, chiedimi qualunque cosa). Nel frattempo, Instagram sta attualmente testando i canali con alcuni creatori selezionati negli Stati Uniti, con l’intenzione di espandere la release della funzionalità nei prossimi mesi.
Questa nuova funzionalità offre anche ai creatori un nuovo modo per aggiornare i loro follower. Fino ad ora, i creatori di contenuti dovevano aggiornare le loro storie su Instagram per condividere notizie e aggiornamenti con i loro follower. Ma ora possono utilizzare un modo più diretto per connettersi con loro. Coloro che si uniscono ai canali possono votare nei sondaggi ma non possono partecipare alla conversazione.
Crisi NFT. Questo ed altri buoni propositi nel cestino di Meta
Meta, la società madre di Facebook e Instagram, ha deciso di rimuovere il supporto agli NFT (non-fungible token), oggetti da collezione digitali, meno di un anno dopo il loro lancio ufficiale sui due social network. La decisione è stata presa per concentrarsi su altri modi per supportare creator, persone e aziende. La compagnia sta già lavorando su nuove funzionalità come la messaggistica e le operazioni di monetizzazione per Reels e sta investendo in strumenti fintech come Meta Pay e i pagamenti tramite messaggistica su Meta. Questa decisione sembra suggerire che Meta stia cercando di proporre un’alternativa valida agli NFT, che sono stati considerati in crisi da molti. Tuttavia, la decisione è sorprendente poiché Mark Zuckerberg aveva presentato gli NFT come un elemento utile allo sviluppo del metaverso. Meta ha già chiuso altri progetti ambiziosi come il portafoglio di criptovalute Novi, il programma di bonus per i creator di Reels e la divisione “Reality Labs”. La società sembra essersi lanciata in progetti troppo ambiziosi che ora non riesce a seguire come vorrebbe, e l’eccessiva ambizione del CEO sta cominciando a farsi sentire sull’attività di Meta.
Altri 10.000 licenziamenti per far volare il titolo in borsa
Mark ha annunciato la decisione di licenziare altri 10.000 dipendenti su un organico di poco meno di 80.000 persone. L’azienda ha dichiarato che questo è necessario per ridurre i costi e aumentare la distribuzione di risorse agli azionisti. La società di Mark Zuckerberg ha affermato che nei prossimi mesi annuncerà un piano di ristrutturazione, cancellando i progetti a bassa priorità e riducendo il tasso delle assunzioni. Zuckerberg ha descritto la decisione come difficile ma necessaria per il successo dell’azienda, aggiungendo che verranno chiuse anche altre 5.000 posizioni aperte. Questa non è la prima volta che l’azienda licenzia dipendenti, infatti, lo scorso novembre ne aveva già licenziati 11.000. Lo scorso febbraio, la società ha annunciato anche un piano di riacquisto di azioni proprie da 40 miliardi di dollari per aumentare il valore delle azioni a beneficio dei soci e dei manager.
-
L'Altra Bolla3 settimane fa
TikTok sul banco degli imputati: sicurezza o ennesima sanzione alla Cina?
-
Editoriali3 settimane fa
L’intelligenza artificiale al servizio dell’umanità? E’ già un falso storico
-
Inchieste3 settimane fa
Google e ACN finanziano progetti contro la disinformazione con politici e disinformatori
-
Inchieste2 settimane fa
ACN copia e incolla da Accenture il Piano Strategico Nazionale di Cybersicurezza?
-
L'Altra Bolla3 settimane fa
FBI va oltre la scienza: Covid ha avuto origine in laboratorio. Perchè fa paura?
-
Editoriali2 settimane fa
Baldoni: dimissioni da ACN. Spiazzato lo storytelling della propaganda cyber
-
L'Altra Bolla2 settimane fa
Polizia di Kiev scopre 160 comunità Telegram degli estremisti PMC Redan
-
Editoriali2 settimane fa
Fedez è l’opposto della Cultura Digitale che serve al paese