Introduzione:
Nel mondo della cybersecurity, il 2014 è stato un anno di grande impatto a causa di un devastante attacco informatico ai danni della Sony Pictures Entertainment. Questo evento ha scosso l’industria dell’intrattenimento, rivelando dati aziendali sensibili, un’infinità di email interne e portando persino alla cancellazione di un’importante uscita cinematografica. L’attacco è stato attribuito al famigerato gruppo hacker conosciuto come Lazarus Group, noto per la sua audacia e la sua capacità di scatenare il caos nel cyberspazio. Questo evento ha messo in evidenza questo threat actor per la prima volta sul grande panorama internazionale.
Chi è il Lazarus Group?:
Il Lazarus Group, noto anche come APT38, è un gruppo di hacker di fama mondiale ritenuto originario della Corea del Nord. Il gruppo è conosciuto per i suoi attacchi sofisticati e altamente coordinati che colpiscono governi, istituzioni finanziarie e aziende. Sotto alias come Guardians of Peace, Hidden Cobra e APT38, il Lazarus Group è attivo almeno dal 2009. Nonostante l’identità precisa del gruppo rimanga incerta, vari governi, inclusi gli Stati Uniti, lo hanno collegato al governo della Repubblica Popolare Democratica di Corea (DPRK).
Obiettivi del Lazarus Group:
Il Lazarus Group ha colpito principalmente la Corea del Sud, ma il suo raggio d’azione si estende ben oltre i confini vicini. Con un record di attacchi non solo in Corea del Sud ma anche negli Stati Uniti e in vari altri paesi, il gruppo ha attirato l’attenzione internazionale per le sue tattiche sofisticate e le operazioni distruttive. Nonostante gli sforzi degli esperti di cybersecurity e delle forze dell’ordine per contrastare le sue operazioni, il Lazarus Group continua a rappresentare una minaccia significativa per organizzazioni e governi di tutto il mondo.
Storia degli Attacchi del Lazarus Group:
Il Lazarus Group ha segnato la storia della guerra cibernetica fin dai suoi esordi. Il primo attacco noto attribuito a questo collettivo oscuro è denominato “Operation Troy“, una campagna di spionaggio cibernetico svoltasi tra il 2009 e il 2012. Gli attacchi del gruppo si sono raffinati nel tempo, diventando sempre più sofisticati e pericolosi. Incidenti noti come l’attacco ransomware WannaCry nel 2017 e il furto informatico alla Bangladesh Bank nel 2016 hanno messo in luce le tattiche evolutive del gruppo e la sua incessante ricerca dei propri obiettivi.
Le caratteristiche:
Secondo un rapporto dettagliato di Peter Kalnai, il malware utilizzato dal Lazarus Group è caratterizzato da un’architettura multistadio intricata. L’attacco inizia tipicamente con un’applicazione console in grado di ricevere parametri e inizializzare API di Windows. Seguendo lo stadio iniziale, l’attacco progredisce attraverso un processo complesso, utilizzando un metodo di crittografia simile a RC4 chiamato Spritz. Questa complessità aggiunta rende la rilevazione più difficile e aumenta la sofisticazione dell’attacco informatico.
Difendersi dal Lazarus Group
Comprendere il toolset del Lazarus Group non solo aiuta a decifrare le complessità tecniche, ma fornisce anche intuizioni sulla psicologia dei cybercriminali. Rivelare i loro obiettivi, metodi operativi e motivazioni consente ai difensori di anticipare e contrastare proattivamente le tattiche impiegate da questi attori malintenzionati. Ecco alcune soluzioni per mitigare le minacce poste dal Lazarus Group:
- Difesa DDoS: Implementare misure robuste per contrastare gli attacchi Distributed Denial of Service (DDoS).
- Protezione degli Asset: Salvaguardare i beni digitali vitali in vari settori, con particolare attenzione alle istituzioni finanziarie e ai punti di terminazione del sistema SWIFT.
- Mitigazione del Riscatto: Adottare protocolli di sicurezza per evitare i pagamenti di riscatto.
- Intelligence sulle Minacce: Utilizzare capacità di intelligence sulle minacce per rilevare e affrontare tempestivamente le minacce.
In conclusione
Il Lazarus Group rappresenta una delle più potenti e durature minacce nel panorama della cybersecurity. Dagli attacchi DDoS agli attacchi di sabotaggio e furti finanziari, il gruppo ha dimostrato una versatilità e una capacità di adattamento straordinarie. La loro storia di attacchi e la continua evoluzione delle loro tecniche sottolineano l’importanza di una difesa informatica robusta e di una cooperazione internazionale per mitigare le minacce cibernetiche. La protezione contro tali minacce richiede un approccio multilivello e proattivo, con aggiornamenti costanti della sicurezza e un’attenzione continua alle nuove tecniche di attacco. Solo attraverso una preparazione diligente e una collaborazione globale possiamo sperare di tenere testa a gruppi come il Lazarus.
