Il nome che il DHS ha scelto di utilizzare per interpellare il Lazarus Group è “Hidden Cobra”: a esso vengono attribuiti attacchi ai danni di entità che operano nel campo dei media, dell’aerospaziale, istituti finanziari e persino infrastrutture critiche in non meno di 18 paesi.
Le armi di Hidden Cobra
Secondo il DHS, FALLCHILL è uno strumento abbastanza complesso capace di nascondere in parte le tracce degli attaccanti, così come infettare al suo passaggio il server e i computer con cui entra in contatto rilasciando un trojan denominato Volgmer. Attraverso una serie di proxy server distribuiti in diverse nazioni (India, Iran, Pakistan, Arabia Saudita e Taiwan le prime cinque di una lista che conta una dozzina di Paesi), FALLCHILL e Volgmer raccolgono informazioni e modificano il software a bordo dei computer infetti, sono in grado di rubare dati o impiantarne di contraffatti, così come impedire il corretto funzionamento dei sistemi che finiscono sotto il loro controllo.
Volgmer ha una natura sfuggente: a volte viene distribuito come eseguibile a 32bit, a volte arriva sotto forma di libreria DLL. Molto spesso sfrutta porte standard del protocollo TCP come la 8080 per comunicare con FALLCHILL (il centro di comando&controllo), operando di fatto come una vera e propria botnet.
Le informazioni fornite dal DHS al pubblico serviranno a due scopi: metter sull’avviso il pubblico degli addetti ai lavori, e non solo, e inoltre serviranno anche ad attrezzare adeguate contromisure per tenersi al riparo da questa minaccia. La minaccia FALLCHILL è di tipo persistente, ovvero è pensata per prendere il controllo della macchina vittima e per mantenerlo nel tempo: indispensabile, dunque, prevedere sistemi di protezione radicali per prevenire questo tipo di infezione.
Un Russiagate infinito
Quello nordcoreano non è l’unico fronte caldo per quanto attiene il cyberwarfare internazionale: negli USA in queste ore gli strascichi della vicenda Russiagate hanno spinto Google e Facebook a comunicare alle autorità di essere pronte a svolgere un ruolo attivo nelle verifiche sulla comunicazione politica a mezzo social. Un ruolo decisamente diverso da quello svolto fino a oggi, ovvero quello di semplici fornitori di servizio completamente avulsi dal monitoraggio dei contenuti che transitavano sulle rispettive piattaforme.
Un precedente che probabilmente spingerà anche altre nazioni a chiedere un impegno simile: il Regno Unito ha comunicato ufficialmente di essere stato vittima di attacchi a infrastrutture critiche, telco e anche ai mass-media. Il dito viene puntato ancora una volta contro la Russia, che sin qui ha sempre negato ufficalmente ogni coinvolgimento con attacchi di questo tipo, o con la propaganda politica in paesi stranieri. Vedremo se questo nuovo annuncio spingerà al tanto agognato canale privilegiato di comunicazione tra le intelligence: quel che si prospetta tuttavia è una rinnovata “guerra fredda”, questa volta in versione digitale, che vedrà contrapposti però non solo due blocchi bensì un numero più nutrito di oppositori.