L’FBI scopre il malware nordcoreano “ElectricFish”

Di
Antonino Caffo
-
Kaspersky lancia un nuovo corso di formazione online: “Mobile Malware Reverse Engineering” per professionisti sulla cybersecurity

Collegato al gruppo Hidden Cobra della Corea del Nord, la minaccia aggira le procedure di autenticazione dei server proxy

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Le agenzie di sicurezza degli Stati Uniti hanno scoperto nuovi malware collegati alla Corea del Nord, progettati per estrapolare i dati dalla rete di un bersaglio e collegati al gruppo APT degli Hidden Cobra. A seconda dei ricercatori, gli Hidden Cobra sono riconociuti con vari nomi, tra cui Lazarus, ZINC, Guardians of Peace, Nickel Academy e molti altri. Fulcro delle minacce rilevate è il malware “ElectricFish”, come indicato dal rapporto di analisi pubblicato dal Dipartimento della Sicurezza Nazionale degli Usa e dal Federal Bureau of Investigation.

Un’analisi dello strumento ha rilevato che il malware è in grado di aggirare i protocolli di sicurezza di un server: quando le persone connettono le loro macchine a internet, un server proxy funge da gateway. Il compito principale di tale server è quello di fornire un firewall e un filtro web per proteggere i dispositivi da potenziali minacce.

Cosa sappiamo

Ma ElectricFish può stabilire una sessione tra il sistema di destinazione e gli aggressori, ignorando le procedure di autenticazione del server proxy. “Il malware implementa un protocollo personalizzato che consente di incanalare il traffico tra una sorgente e un indirizzo IP di destinazione – spiega il team, aggiungendo che – in questo modo tenta di raggiungere la fonte e il sistema di designazione, che permette a entrambi di avviare una sessione di canalizzazione. Il malware può essere configurato con un server proxy o una porta, con nome utente e password per bypassare l’autenticazione richiesta del sistema compromesso e raggiungere la rete”.

Leggi anche:  MDR, la svolta dei servizi gestiti. Prevenzione, risposta e analisi

Una volta stabilita una sessione, il malware può incanalare il traffico tra i due sistemi per consentire agli aggressori di trasferire i dati rubati dalle macchine compromesse ai server controllati. Le agenzie statunitensi hanno consigliato agli amministratori e agli utenti di segnalare qualsiasi attività sospetta associata al malware sia all’FBI Cyber ​​Watch che alla Cybersecurity and Infrastructure Security Agency degli Stati Uniti.