Gruppi di hacker sponsorizzati dal governo nordcoreano sarebbero i responsabili individuati dietro attacchi ad alcuni negozi online, cybercriminali che sono riusciti a inserire codice malevolo su alcuni siti web e recuperare dettagli su carte di pagamento durante la fase di compilazione dei moduli e completamento degli ordini.
Attacchi di questo tipo sono stati notati da maggio dello scorso anno. A riferirlo è SanSec, azienda olandese specilizzata in sicurezza. Tra i negozi online vittime di questi attacchi c’è Claire’s, rivenditore di accessori, gioielli e giocattoli che ha come target principalmente ragazze, ragazze e adolescenti. Il sito di Claire’s è stato violato ad aprile e giugno di quest’anno.
Gli attacchi in questione sono denominati “web skimming,” “e-skimming” o “Magecart attack”, con l’ultimo dei nomignoli in questione che fa riferimento al nome di un gruppo di cyercriminali che ha a che fare con la truffa.
Gli attacchi di tipo skimming non sono una novità: si tratta di metodi abbastanza comuni per ottenere i dati dei titolari delle carte di credito che visitano negozi online. I cybercriminali inseriscono un codice dedicato nelle pagine del sito web scelto come obiettivo. Per ottenere i dati di accesso rubano in qualche modo la password dell’amministratore del sito web, sfruttano vulnerabilità dei CMS (Content Management System) usati o di un plug-in di terze parti, iniettando il codice che consente di intercettare ciò che l’utente digita attraverso un modulo codificato in modo errato. Iniettato il codice nel sito è ovviamente facile registrare le azioni compite dell’utente durante la visita (compresi i dati relativi alla carta di credito digitati dal malcapitato) e trasferire quanto carpito ai server dei cybercriminali.
Ciò che rende particolare questo nuovo tipo di attacchi è che dagli indirizzi IP da quali partono gli attacchi dei cybercriminali sembrano emergere strutture di hacking del governo nordcoreano.
Willem de Groot, fondatore di SanSec, riferisce di prove che portano a Hidden Cobra (detto anche Lazarus Group), il nome dato al gruppo di cybercriminali dal Dipartimento della Sicurezza Interna degli USA alla crew di hacker che opera per conto di Pyongyang.
Non è chiaro come il gruppo Hidden Cobra ottiene gli accessi ma secondo de Groot spesso si tratta di attacchi spearphisjing, sfruttando l’ingegneria sociale per ottenere dati dallo staff di un sito che è in possesso delle password di amministrazione.
Quanto individuato da SanSec è parte di un quadro più ampio dal quale emerge il coinvolgimento della Corea del nord in varie attività di hacking. Vari governi tipicamente finanziano attività di hacking per cybers-spionaggio ma la Corea del Nord lo fa anche per motivi strategici ed economici (le banche sono diventate un succulento punto di riferimento e più volte sono riusciti a portare a termine colpi milionari). Sono vari i “collettivi” che portano a Pyongyang, gruppi che agiscono a volte ognuno per fatti propri, altre volte di concerto tra loro. Già lo scoro anno l’Australian Strategic Policy Institute aveva riferito che il regime coreano impiega almeno 1.700 hacker a tempo pieno e 5.000 persone di supporto.
Hacker che operano per conto di Pyongyang sono legati ad attacchi a bancomat, a quelli perpetrati nei confronti di varie banche, in scam (truffe) di vario tipo con le criptovalute e anche in recenti campagne malevole che cercano di ingannare gli utenti e ottenere dati di vario tipo con la scusa del coronavirus. Il collettivo nome come Lazarus/Hidden Cobra è legato anche agli attacchi di intere strutture di rete e varie prove sembrano dimostrare che sono sempre loro dietro a “WannaCry”, il ramsonware che ha colpito migliaia di persone in centinaia di paesi a partire dal mese di maggio del 2017, estorcendo denaro che servirebbe a finanziare il regime di Pyongyang.
Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.
