Una banda nordcoreana ha approfittato di un bug precedentemente sconosciuto di Chrome per prendere di mira le organizzazioni e rubare la loro criptovaluta, ha rivelato in un rapporto un team di ricercatori Microsoft.
Secondo il rapporto pubblicato venerdì, i ricercatori di sicurezza informatica di Microsoft sono venuti a conoscenza dei reati degli hacker per la prima volta il 19 agosto. Il rapporto afferma inoltre che la banda era affiliata a Citrine Sleet, nota per prendere di mira l'industria delle criptovalute e i fornitori di servizi finanziari in generale.
Gli hacker hanno approfittato delle falle dei browser
Ciò avviene perché la criptovaluta è diventata da anni un obiettivo caldo per gli hacker del governo nordcoreano, con il Consiglio di sicurezza delle Nazioni Unite che stima che 3 miliardi di dollari in criptovaluta siano stati rubati tra il 2017 e il 2023, secondo un articolo di TechCrunch.
Secondo i ricercatori di Microsoft, il gruppo di hacker ha approfittato di una vulnerabilità in un motore centrale di Chromium, che è il codice sottostante per Chrome e altri browser popolari come Microsoft Edge.
Il rapporto spiega inoltre che quando gli hacker hanno sfruttato le falle dei browser era zero-day, il che significa che Google, in quanto produttore del software, non era a conoscenza del bug. Secondo un articolo di TechCrunch, il team non aveva tempo per pubblicare una soluzione prima che il bug venisse sfruttato.
Google ha corretto il bug due giorni dopo, il 21 agosto, secondo le spiegazioni dei ricercatori.
Secondo TechCrunch , il portavoce di Google Scott Westover ha detto che il colosso della tecnologia ha corretto il bug, ma senza fornire ulteriori dettagli.
Colleghi, Microsoft ha rivelato di aver notificato “clienti presi di mira e compromessi” anche se non ha potuto fornire ulteriori informazioni sull’obiettivo fissato, né quanti obiettivi e vittime sono stati presi di mira da questa “follia di hacking”.
Il suo portavoce Chris Williams ha rifiutato di rivelare il numero delle organizzazioni colpite da questa pratica illecita.
Una banda nordcoreana prende di mira i servizi finanziari
Secondo i ricercatori, Citrine Sleet ha sede in Corea del Nord e si rivolge principalmente a fornitori di servizi finanziari e individui che gestiscono criptovalute a scopo di lucro e il gruppo "ha condotto un'ampia ricognizione del settore delle criptovalute e degli individui ad esso associati" come parte delle sue tecniche di ingegneria sociale .
"L'autore della minaccia crea siti Web falsi mascherati da piattaforme di scambio di criptovaluta legittime e li utilizza per distribuire domande di lavoro false o indurre obiettivi a scaricare un portafoglio di criptovaluta armato o un'applicazione di scambio basata su applicazioni legittime", si legge in una parte del rapporto.
"Citrine Sleet infetta più comunemente i target con l'esclusivo malware trojan sviluppato, AppleJeus, che raccoglie le informazioni necessarie per prendere il controllo delle risorse di criptovaluta dei target."
Rapporto Microsoft.
Per quanto riguarda gli hacker nordcoreani, i ricercatori hanno rivelato che hanno iniziato inducendo la vittima a visitare un dominio web sotto il loro controllo. Il rapporto spiega inoltre che a causa di un'altra vulnerabilità nel kernel di Windows, gli hacker sono riusciti a installare sul dispositivo della vittima un malware con accesso approfondito al sistema operativo. Gli hacker hanno ottenuto il controllo totale dei dati e del dispositivo della vittima.
Secondo TechCrunch, a causa delle severe sanzioni internazionali, il regime della Corea del Nord si è rivolto ad attività illecite legate alle criptovalute per finanziare le sue armi nucleari.