Egyre aktívabbak az észak-koreai hackerek

Az FBI beszámolt azon vizsgálatairól, amelyek az Észak-Koreához köthető, feketekalapos hackerek tevékenységéről derítettek ki érdekességeket.
 

Azt már eddig is lehetett tudni, hogy a kiberhadviselést Észak-Korea sem veszi félvállról. Még az is sejthető volt, hogy a vele kapcsolatba hozható hackercsoportok nem is Észak-Koreából indítják a támadásaikat, hanem számos egyéb országból. Mindezt most az FBI, illetve a US-CERT is megerősítette.
 
A szakértők arra a következtetésre jutottak, hogy az észak-koreai kormánynak dolgozó támadók legalább 2016 óta egy FALLCHILL nevű trójai programmal (RAT) igyekeznek kiemelt célpontokat támadni "Hidden Cobra" (magyarul Rejtett Kobra) fedőnév alatt. Eddig a légierő, valamint egyes telekommunikációs és pénzügyi vállalatok kerültek a támadások középpontjába. Ezeket az akciókat számos helyről hajtották végre. Az eddigiekben érintett IP-címeket az FBI összegyűjtötte, és megtette az ilyenkor szokásos védelmi intézkedéseket a címek mögött meghúzódó kiszolgálók, rendszerek blokkolása érdekében.
 
A Hidden Cobra keretében a FALLCHILL mellett egyéb károkozók is szerephez jutottak, de minden esetben elmondható, hogy ezek a malware-ek vagy trójai letöltő programok vagy megtévesztett felhasználók révén kerültek be a kiszemelt infrastruktúrákba. A FALLCHILL legfontosabb jellemzője, hogy egy meglehetősen kifinomult kommunikációs rendszert használ, amelyet korántsem könnyű lefülelni. A fertőzött rendszerek és a támadók szerverei közötti adatforgalom legalább két proxy-n keresztül halad át, mire célba ér. Ráadásul számos esetben mindez titkosítottan történik. A károkozó a vezérlőszervereiről nem kizárólag parancsokat fogad, hanem adatokat is képes kiszivárogtatni azokra. Mindezek mellett alkalmas fájlok és folyamatok kezelésére, de akár a saját kódjainak (nyomainak) eltüntetésére is.  
Volgmer trójai
 
A US-CERT egyúttal a szintén észak-koreai támadásokhoz köthető Volgmer trójairól is beszámolt. Ez a károkozó 2013 óta létezik, és kormányzati szerveket, pénzügyi cégeket, autógyártókat, illetve médiabirodalmakat is ostromolt már. Általában célzott adathalász támadások során kerül fel a rendszerekre, amelyeken egyebek mellett az alábbi műveleteket képes végrehajtani:
- rendszerinformációk összegyűjtése és kiszivárogtatása
- a regisztrációs adatbázis manipulálása
- fájlok letöltése és feltöltése
- fájlműveletek
- folyamatok kezelése.
 
A károkozó általában a 8080-as vagy a 8088-as TCP portokon keresztül kommunikál a vezérlőszervereivel, és néhány modulja esetében SSL alapú titkosítást is használ. A biztonsági szakemberek azt is megvizsgálták, hogy melyek azok az országok, amelyekből a Volgmer a legtöbbször útnak indul. Ezáltal ugyanis lehet következtetni arra, hogy az Észak-Koreához köthető hackercsoportok hol működnek. E tekintetben kiderült, hogy a kártékony program leggyakrabban indiai, iráni, pakisztáni, szaúd-arábiai és tajvani kiszolgálókkal kommunikál.