La rete interbancaria cilena Redbanc ha subìto, nel dicembre dello scorso anno, una violazione che secondo gli esperti di sicurezza è attribuibile alle attività del gruppo nordcoreano Lazarus. Si tratta di una APT (Advanced Persistent Threat) di hacker ostili che operano da varie parti del mondo e si sono specializzati in particolare negli attacchi a istituzioni finanziarie.

Raccontato in dettaglio da TrendTic, l'attacco è interessante perché si è basato su una combinazione di ingegneria sociale, uso dei social network e phishing estremamente mirato. Il vettore involontario dell'attacco a Redbanc è stato infatti un singolo dipendente ben individuato.

I ciberdelincuentes di Lazarus hanno innanzitutto postato su LinkedIn una finta ricerca di personale descritta in modo mirato per attirare i dipendenti IT - in particolare gli sviluppatori - di Redbanc, che gestisce tra l'altro la rete dei Bancomat cileni. Un tecnico informatico della società ha risposto all'annuncio ed è stato quindi contattato direttamente. Gli hacker ostili di Lazarus hanno organizzato alcuni colloqui via Skype in spagnolo, conquistando così la fiducia del presunto candidato.

Il dropper di PowerRatankba, camuffato da applicazione lecita 
A questo punto entra in gioco il phishing: al malcapitato sviluppatore è stata inviata una applicazione che avrebbe dovuto "assemblare" una richiesta formale di assunzione a partire da alcune informazioni digitate dal candidato. In realtà l'applicazione era un "dropper", un piccolo modulo eseguibile che dietro le quinte scaricava un malware sul computer-bersaglio. Non si sa se per una poca efficacia degli anti-malware di Redbanc, per l'esplicita autorizzazione dello sviluppatore ingannato o per una combinazione di questi fattori, il dropper e il malware hanno operato senza che niente li identificasse e li bloccasse.

Il malware utilizzato è una versione di PowerRatankba, creato dal gruppo Lazarus e per questo una prova del suo coinvolgimento. Il malware esamina in dettaglio le caratteristiche del computer su cui gira per capire se si tratta del PC di un utente "importante", nel qual caso scarica altri script PowerShell specifici. In ogni caso, il computer colpito viene usato come canale per penetrare anche successivamente nella rete della sua azienda e raccoglierne il maggior numero di informazioni da usare per altri attacchi.

La violazione della sicurezza di Redbanc non è stata comunicata dall'azienda stessa ma segnalata via Twitter da un politico cileno. Dopo il suo tweet, Redbanc ha effettivamente confermato che la violazione era avvenuta ma anche che, non appena era stata rilevata, l'azienda aveva provveduto a mettere in atto le necessarie procedure di protezione e ad avvisare le autorità competenti. A quanto sembra i Bancomat cileni hanno continuato ad operare normalmente.