APT43, operatore informatico nordcoreano è accusato di una serie di campagne orchestrate per raccogliere informazioni strategiche che si allineano agli interessi geopolitici di Pyongyang dal 2018.
Gli obiettivi di queste campagne criminali
Mandiant, di proprietà di Google, che sta monitorando il gruppo di attività sotto il nome di APT43, ha dichiarato che le motivazioni del gruppo sono sia di spionaggio che finanziarie, sfruttando tecniche come la raccolta di credenziali e l’ingegneria sociale per perseguire i propri obiettivi.
L’aspetto monetario delle sue campagne di attacco è un tentativo da parte dell’attore della minaccia di generare fondi per soddisfare la sua “missione primaria di raccogliere informazioni strategiche”.
I modelli di vittimologia suggeriscono che l’obiettivo è focalizzato sulla Corea del Sud, gli Stati Uniti, il Giappone e l’Europa, e che si estende ai settori governativo, dell’istruzione, della ricerca, degli istituti politici, dei servizi alle imprese e della produzione.
l’attore della minaccia, da ottobre 2020 a ottobre 2021, si allontana dalla rotta colpendo verticali legati alla salute e aziende farmaceutiche, sottolineando la sua capacità di cambiare rapidamente le priorità.
Cos’è APT43
I ricercatori di Mandiant in un rapporto tecnico dettagliato hanno dichiarato:
APT43 è un operatore informatico prolifico che sostiene gli interessi del regime nordcoreano. Il gruppo combina capacità tecniche moderatamente sofisticate con tattiche aggressive di social engineering, soprattutto contro organizzazioni governative, accademiche e think tank con sede in Corea del Sud e negli Stati Uniti, che si occupano di questioni geopolitiche della penisola coreana.
Le attività dell’APT43 si allineerebbero con il Reconnaissance General Bureau (RGB), l’agenzia di intelligence estera della Corea del Nord, indicando sovrapposizioni tattiche con un altro gruppo di hacker, i Kimsuky (alias Black Banshee, Thallium o Velvet Chollima).
Inoltre, è stato osservato l’utilizzo di strumenti precedentemente associati ad altre associazioni avversarie subordinate all’interno di RGB, come il Gruppo Lazarus. Lazarus è presente da molti anni nelle campagne di hacking a favore della Nord Corea. Un esempio può essere quando ha sfruttato le falle di un software per violare un’entità finanziaria in Corea del Sud per due volte nel 2022..
Cosa prevedono le campagne d’attacco
Le catene di attacco messe in atto da APT43 prevedono l’invio di e-mail di spear-phishing (clicca qui per scoprire come funzionano) contenenti esche personalizzate per attirare le vittime. Utilizzando personaggi spoofed e fraudolenti, che si spacciano per persone chiave nell’area di competenza dell’obiettivo per guadagnarne la fiducia, inviano i messaggi personalizzati.
È noto anche che sfrutta gli elenchi di contatti rubati da individui compromessi per identificare altri obiettivi e rubare criptovalute per finanziare la propria infrastruttura di attacco. Utilizzando servizi di hash rental e cloud mining riciclano le risorse digitali per oscurare la traccia forense e convertirle in criptovaluta pulita.
L’obiettivo principale di APT43
L’obiettivo finale degli attacchi è facilitare le campagne di raccolta delle credenziali attraverso domini che imitano un’ampia gamma di servizi legittimi e utilizzano i dati raccolti per creare personalità online.
Mandiant ha dichiarato:
La prevalenza di attività a sfondo finanziario tra i gruppi nordcoreani, anche tra quelli che storicamente si sono concentrati sullo spionaggio informatico, suggerisce un diffuso mandato di autofinanziamento e l’aspettativa di sostenersi senza ulteriori risorse.
Le operazioni di APT43 sono attuate attraverso un vasto arsenale di malware disponibili pubblicamente, come LATEOP (alias BabyShark), FastFire, gh0st RAT, Quasar RAT, Amadey e una versione Android di un downloader basato su Windows chiamato PENCILDOWN.
Le scoperte arrivano meno di una settimana dopo che le agenzie governative tedesche e sudcoreane hanno messo in guardia dagli attacchi informatici sferrati da Kimsuky, che utilizza estensioni del browser non funzionanti per rubare le caselle di posta Gmail degli utenti.
La società di intelligence sulle minacce ha dichiarato:
L’APT43 è altamente reattivo alle richieste della leadership di Pyongyang e mantiene un elevato ritmo di attività. Sebbene lo spear-phishing e la raccolta di credenziali contro organizzazioni governative, militari e diplomatiche siano stati i compiti principali del gruppo, l’APT43 modifica in ultima analisi i suoi obiettivi e le sue tattiche, tecniche e procedure per adattarsi ai suoi sponsor, compresa l’esecuzione di crimini informatici a sfondo finanziario, se necessario per sostenere il regime.
