La rete interbancaria cilena
Redbanc ha subìto, nel dicembre dello scorso anno, una violazione che secondo gli esperti di sicurezza è attribuibile alle attività del
gruppo nordcoreano Lazarus. Si tratta di una APT (Advanced Persistent Threat) di hacker ostili che operano da varie parti del mondo e si sono specializzati in particolare negli
attacchi a istituzioni finanziarie.
Raccontato in dettaglio
da TrendTic, l'attacco è interessante perché si è basato su una
combinazione di ingegneria sociale, uso dei social network e phishing estremamente mirato. Il vettore involontario dell'attacco a Redbanc è stato infatti
un singolo dipendente ben individuato.
I
ciberdelincuentes di Lazarus hanno innanzitutto
postato su LinkedIn una finta ricerca di personale descritta in modo mirato per attirare i dipendenti IT - in particolare gli sviluppatori - di Redbanc, che gestisce tra l'altro la rete dei Bancomat cileni. Un tecnico informatico della società ha risposto all'annuncio ed è stato quindi contattato direttamente. Gli hacker ostili di Lazarus hanno organizzato alcuni
colloqui via Skype in spagnolo, conquistando così la fiducia del presunto candidato.
Il dropper di PowerRatankba, camuffato da applicazione lecita A questo punto entra in gioco il
phishing: al malcapitato sviluppatore è stata inviata una applicazione che avrebbe dovuto "assemblare" una richiesta formale di assunzione a partire da alcune informazioni digitate dal candidato. In realtà l'applicazione era un "dropper", un piccolo modulo eseguibile che
dietro le quinte scaricava un malware sul computer-bersaglio. Non si sa se per una poca efficacia degli anti-malware di Redbanc, per l'esplicita autorizzazione dello sviluppatore ingannato o per una combinazione di questi fattori, il dropper e il malware hanno operato
senza che niente li identificasse e li bloccasse.
Il malware utilizzato è una versione di
PowerRatankba, creato dal gruppo Lazarus e per questo una prova del suo coinvolgimento. Il malware
esamina in dettaglio le caratteristiche del computer su cui gira per capire se si tratta del PC di un utente "importante", nel qual caso scarica altri script PowerShell specifici. In ogni caso, il computer colpito viene usato come canale per penetrare anche successivamente nella rete della sua azienda e raccoglierne il maggior numero di informazioni da usare per altri attacchi.
La violazione della sicurezza di Redbanc non è stata comunicata dall'azienda stessa ma segnalata via Twitter da un politico cileno. Dopo il suo tweet, Redbanc
ha effettivamente confermato che la violazione era avvenuta ma anche che, non appena era stata rilevata, l'azienda aveva provveduto a mettere in atto le necessarie procedure di protezione e ad avvisare le autorità competenti. A quanto sembra i Bancomat cileni hanno continuato ad operare normalmente.