Un gruppo elitario di hacker nordcoreani è stato identificato come la fonte di un'ondata di attacchi informatici alle banche globali che ha fruttato "centinaia di milioni" di dollari, i ricercatori di sicurezza hanno detto mercoledì.

Un rapporto della società di sicurezza informatica FireEye afferma che il gruppo appena identificato soprannominato APT38 è distinto ma collegato ad altre operazioni di hacking nordcoreane, e ha la missione di raccogliere fondi per il regime isolato di Pyongyang.

I ricercatori di FireEye hanno affermato che l'APT38 è una delle numerose cellule di hacking all'interno di un gruppo ombrello noto come "Lazarus, " ma con competenze e strumenti unici che l'hanno aiutata a portare a termine alcune delle più grandi rapine informatiche al mondo.

"Sono un gruppo di criminali informatici con le capacità di una campagna di spionaggio informatico, "ha detto Sandra Joyce, Il vicepresidente dell'intelligence di FireEye, in un briefing con i giornalisti a Washington.

Joyce ha detto che una delle caratteristiche di APT38 è che ci vogliono diversi mesi, a volte quasi due anni, penetrare e apprendere il funzionamento dei suoi bersagli prima dei suoi attacchi, che hanno cercato di trasferire illegalmente più di 1 miliardo di dollari dalle banche vittime.

"Si prendono il loro tempo per imparare le complessità dell'organizzazione, " disse Joyce.

Una volta che ci riescono, lei ha aggiunto, "distribuiscono malware distruttivo in uscita" per nascondere le loro tracce e rendere più difficile per le vittime scoprire cosa è successo.

Senso di urgenza

Joyce ha detto che FireEye ha deciso di rendere pubblica la minaccia per un "senso di urgenza" perché il gruppo sembra essere ancora operativo ed è "imperterrito da qualsiasi sforzo diplomatico".

Il gruppo ha compromesso più di 16 organizzazioni in almeno 11 paesi diversi almeno dal 2014, secondo il rapporto FireEye.

Alcuni degli attacchi noti hanno preso di mira la Vietnam TP Bank nel 2015, Banca del Bangladesh nel 2016, Far Eastern International Bank di Taiwan nel 2017 e Bancomext del Messico e Banco de Chile nel 2018.

Joyce ha affermato che il gruppo sembra avere "la portata e le risorse di uno stato-nazione", ma non ha fornito dati specifici su quante persone utilizza.

Nalani Fraser, un membro del team di ricerca FireEye, ha affermato che gli attacchi APT38 hanno cercato almeno $ 1,1 miliardi dal 2014 e sono riusciti a rubare "centinaia di milioni di dollari in base ai dati che possiamo confermare".

FireEye ha affermato che sembra esserci una condivisione di risorse tra gruppi di hacker in Corea del Nord, compresi quelli coinvolti nello spionaggio e quelli in altri tipi di attacchi.

Missione mirata

Alcune delle informazioni su APT38 sono state rivelate in una denuncia penale statunitense aperta il mese scorso contro Park Jin Hyok, accusato in relazione all'epidemia di ransomware WannaCry e all'attacco alla Sony Pictures.

Ma Park probabilmente ha giocato solo un ruolo marginale in APT38, che "ha una missione mirata a rubare denaro per finanziare il regime nordcoreano, "Secondo Joyce.

Il nuovo rapporto di FireEye si basava in parte sull'analisi forense condotta per l'FBI nell'indagine su Park, ma anche da altri dati che l'azienda di sicurezza ha raccolto dalla sua base di clienti globale.

I ricercatori hanno affermato che APT38 ha utilizzato tecniche tra cui e-mail di "phishing" per ottenere l'accesso alle credenziali e l'utilizzo di "watering hole", siti Web dirottati che sembrano normali ma che contengono malware che consentono agli hacker di raccogliere più dati e accedere.

Come parte dello schema, gli hacker hanno creato identità false all'interno di organizzazioni o fondazioni note non governative per aiutare a spostare il denaro rubato, in alcuni casi manipolando il sistema di trasferimento interbancario globale noto come SWIFT.

Il rapporto è l'ultimo che mette in evidenza una vasta e sempre più sofisticata campagna informatica della Corea del Nord per fini sia politici che finanziari.

Nel mese di settembre, una denuncia penale di 176 pagine contro Park ha delineato quello che i funzionari hanno definito "un vasto e audace schema del governo nordcoreano per utilizzare le intrusioni informatiche come mezzo per sostenere i vari obiettivi del loro regime".

Martedì, il Dipartimento per la sicurezza interna degli Stati Uniti ha avvertito che la Corea del Nord è probabilmente dietro il malware utilizzato per hackerare e rubare denaro dagli sportelli bancari.

Il bollettino ha affermato che i funzionari ritengono che il malware "Hidden Cobra" abbia consentito alla Corea del Nord di ottenere illegalmente denaro dagli sportelli bancari in almeno 30 paesi, principalmente in Asia e Africa, dal 2016.

© 2018 AFP