Gli attacchi portati avanti dagli stati nazionali sono quasi sempre contraddistinti dalla discrezionalità e dalla capacità di restare silenti per anni. Non è il caso di un incidente legato al gruppo nord coreano Lazarus, che è stato scoperto per un “errore di sicurezza operativa” commesso da uno degli attaccanti. Il dettaglio emerge da una ricerca di WithSecure, la costola business di F-Secure, in relazione a una campagna mirata contro organizzazioni di ricerca medica e aziende energetiche.

Per chi non lo conoscesse, Lazarus è un gruppo APT da tempo ritenuto colluso con il Foreign Intelligence and Reconnaissance Bureau della Corea del Nord. Da anni conduce attacchi ai danni di strutture e aziende della Corea del Sud e in generale l’estremo oriente. Di recente, tuttavia, Kaspersky ha rilevato attacchi anche nei confronti di società occidentali ed europee, fra cui alcune italiane.

Identificare le campagne di Lazarus non è mai semplice, ma a questo giro è stato un errore degli attaccanti a consentire di tracciarne le mosse. Tutto è iniziato con un sospetto attacco ransomware ai danni di un'organizzazione protetta dalla piattaforma di sicurezza cloud-native WithSecure Elements. Mentre conducevano le indagini, gli esperti di WithSecure hanno scoperto le prove che l'attacco faceva parte di una più ampia campagna di raccolta di informazioni. Non si trattava quindi di un incidente ransomware, ma di un’attività di spionaggio.

Gli obiettivi della campagna che è stato possibile identificare comprendevano un'organizzazione di ricerca sanitaria, un produttore di tecnologie utilizzate nei settori dell'energia, della ricerca, della difesa e della sanità, nonché il dipartimento di ingegneria chimica di un'importante università di ricerca. Sono state le tattiche, tecniche e procedure a consentire l’attribuzione, perché quelle impiegate nell’attacco sotto indagine erano le stesse utilizzate in precedenti attacchi da parte del gruppo e di altri aggressori associati alla Corea del Nord. Un colpo di fortuna, perché i ricercatori stessi sottolineano che è davvero insolito riuscire a collegare una campagna con tanta certezza a un autore. Soprattutto quando si tratta di un’attività APT.

Le indagini hanno inoltre consentito di scoprire nuovi elementi su Lazarus, come l'uso di nuove infrastrutture e l'utilizzo esclusivo di indirizzi IP senza nomi di dominio. Il gruppo ha inoltre sfruttato una versione modificata del noto malware Dtrack, utilizzato in attacchi precedenti da Lazarus Group e da un altro gruppo nord coreano noto come Kimsuky. I ricercatori hanno inoltre rilevato una nuova versione del malware GREASE che consente agli attaccanti di creare nuovi account di amministratore con privilegi di protocollo desktop remoto, aggirando i firewall.

Non meno importante è la scoperta che gli attaccanti hanno utilizzato per breve tempo uno dei meno di mille indirizzi IP appartenenti alla Corea del Nord. È questo l’errore chiave che ha agevolato le indagini: i ricercatori hanno potuto osservare l'indirizzo IP mentre si connetteva a una webshell controllata dagli aggressori, quasi certamente un errore manuale commesso da un membro del gruppo, che è costato lo smascheramento delle attività in corso.

I ricercatori di WithSecure sottolineano che comunque, nonostante il passo falso, gli attaccanti hanno dimostrato una buona tecnica e sono comunque riusciti a condurre azioni ponderate su endpoint accuratamente selezionati. Ecco perché gli esperti esortano a non abbassare mai la guardia e ad analizzare ogni caso con estrema attenzione. Nel documento completo della ricerca sono indicati tutti gli IoC e i dettagli tecnici.