By Den amerikanska Pentagon, FBI, och Department of Homeland Security på fredagen avslöjade en nordkoreansk hacking operation och gav tekniska detaljer för sju bitar av skadlig kod som används i kampanjen.
Den amerikanska Cyber National Mission Force, en arm av Pentagons US Cyber Command, sade på Twitter att malware är ”för närvarande används för phishing & fjärråtkomst av [nordkoreanska regeringen] cyber aktörer att bedriva olaglig verksamhet, stjäla pengar och undvika sanktioner.” Tweet kopplat till ett inlägg på Virrustotal, alfabetet ägda malware förråd, som gav kryptografiska hash, filnamn och andra tekniska detaljer som kan hjälpa försvarare att identifiera kompromisser inuti de nätverk som de skyddar.
En medföljande rådgivande från DHS: s Cybersecurity and Infrastructure Security Agency sade kampanjen var ett verk av Hidden Cobra, regeringens namn för en hacking grupp sponsras av den nordkoreanska regeringen. Många säkerhetsforskare inom den privata sektorn använder andra namn för gruppen, inklusive Lazarus och Zink. Sex av de sju malware familjerna laddades upp till Virrustotal på fredagen. De inkluderade:
Bistromath, en fullfjädrad fjärråtkomst trojan och implantat som utför systemundersökningar, filuppladdningar och nedladdningar, process- och kommandoavrättningar och övervakning av mikrofoner, urklipp och skärmar
Slickshoes, en ”dropper” som laddar, men inte faktiskt utföra, en ”beaconing implantat” som kan göra många av samma saker Bistromath gör
Hotcroissant, en fullfjädrad beaconing implantat som också gör många av samma saker som anges ovan
Artfulpie, ett ”implantat som utför nedladdning och laddning i minnet och exekvering av DLL-filer från en hårdkodad url”
Buttetline, ett annat fullfjädrad implantat, men den här använder falska ett falskt HTTPS-system med en modifierad RC4-krypteringschiffer för att förbli smygande
Crowdedflounder, en Windows-körbar som är utformad för att packa upp och köra en Remote Access Trojan i datorns minne
Men vänta… det finns mer
Fredagens rådgivande från Cybersecurity and Infrastructure Security Agency gav också ytterligare detaljer för den tidigare avslöjade Hoplight, en familj av 20 filer som fungerar som en proxybaserad bakdörr. Ingen av skadlig kod innehöll förfalskade digitala signaturer, en teknik som är standard bland mer avancerade hackningsoperationer som gör det lättare att kringgå slutpunktsskydd.
Costin Raiu, chef för Global Research and Analysis Team på Kaspersky Lab, publicerade en bild på Twitter som visade relationen mellan skadlig kod som beskrivs på fredag med skadliga prover som Moskva-baserade säkerhetsföretag har identifierat i andra kampanjer tillskrivna Lazarus.
Fredagens gemensamma rådgivande är en del av en relativt ny strategi från den federala regeringen för att offentligt identifiera utländska hackare och de kampanjer de genomför. Tidigare styrde regeringstjänstemän mestadels sig borta från att tillskriva specifika hackningsaktiviteter till specifika regeringar. År 2014 började det tillvägagångssättet förändras när FBI offentligt drog slutsatsen att den nordkoreanska regeringen låg bakom det mycket destruktiva hacket av Sony Pictures ett år tidigare. I 2018, Department of Justice åtalade en nordkoreansk agent för att påstås utföra Sony hacka och släppa lös WannaCry ransomware mask som stängde ner datorer över hela världen 2017. Förra året sanktionerade den amerikanska finansdepartementet tre nordkoreanska hackinggrupper allmänt anklagade för attacker som riktade sig mot kritisk infrastruktur och stal miljontals dollar från banker i kryptovalutakurser.
Som Cyberscoop påpekade, fredag markerade första gången som US Cyber Command identifierade en nordkoreansk hacking operation. En orsak till förändringen: även om den nordkoreanska regeringen hackare ofta använder mindre avancerade malware och tekniker än motsvarigheter från andra länder, blir attackerna alltmer sofistikerade. Nyhetsbyråer inklusive Reuters har citerat en FN-rapport från augusti förra året som uppskattat nordkoreanska dataintrång av banker och kryptovalutakurser har genererat 2 miljarder dollar för landets massförstörelsevapen program.
