ELECTRICFISH, il tunnel per rubare dati in modo diretto.

Come ti rubo i dati.

Il Dipartimento per la Sicurezza Nazionale degli Stati Uniti (DHS) e l’FBI hanno emesso un altro avviso congiunto su un nuovo ceppo di malware che il prolifico gruppo di hacking APT nordcoreano Hidden Cobra ha attivamente utilizzato in questo periodo .

Hidden Cobra, noto anche come Gruppo Lazarus e Guardians of Peace, si ritiene che sia sostenuto dal governo nordcoreano e che lanci attacchi informatici contro le organizzazioni dei media e i settori aerospaziale, finanziario e delle infrastrutture critiche in tutto il mondo.
Il gruppo di hacking era lo stesso associato alla minaccia del ransomware WannaCry del 2017, all’attacco SWIFT Banking del 2016 e all’hacking di Sony Pictures del 2014.

Il nuovo ceppo malware ELECTRICFISH
Il nuovo ceppo malware ELECTRICFISH



ELECTRICFISH

Il DHS e l’FBI hanno scoperto una nuova variante di malware, denominata ELECTRICFISH, che gli hacker di Hidden Cobra hanno utilizzato per prelevare in segreto il traffico da sistemi informatici compromessi.
Il malware implementa un protocollo personalizzato configurato con un server/porta proxy e un nome utente e password proxy, consentendo agli hacker di bypassare l’autenticazione richiesta dal sistema compromesso per raggiungere l’esterno della rete.

Il malware ElectricFish è un’utilità a riga di comando il cui scopo principale è quello di incanalare rapidamente il traffico tra due indirizzi IP.

Il malware permette agli hacker di Hidden Cobra di configurarsi con un server/porta proxy e un nome utente e password proxy, rendendo possibile la connessione a un sistema  che risiede all’interno di un server proxy, che permette agli aggressori di bypassare l’autenticazione richiesta dal sistema infetto.



Come funziona.

“Tenterà di stabilire sessioni TCP con l’indirizzo IP di origine e l’indirizzo IP di destinazione. Se viene effettuata una connessione sia all’IP di origine che a quello di destinazione, questa utility  implementerà un protocollo personalizzato, che permetterà al traffico di essere incanalato rapidamente ed efficacemente tra due macchine”, si legge nell’avviso.

E si continua :”Se necessario, il malware può autenticarsi con un proxy per poter raggiungere l’indirizzo IP di destinazione. Per questa utility non è necessario un server proxy configurato”.
Una volta che ElectricFish si autentica con il proxy configurato, tenta immediatamente di stabilire una sessione con l’indirizzo IP di destinazione, situato al di fuori della rete della vittima e l’indirizzo IP di origine. L’attacco utilizza i prompt dei comandi per specificare l’origine e la destinazione del traffico di tunneling.

Anche se il sito Web di US-CERT non indica se o se sì, quali organizzazioni statunitensi sono già state infettate da questo nuovo malware, il rapporto congiunto di analisi del malware (MAR) afferma che l’avviso è stato emesso “per consentire la difesa della rete e ridurre l’esposizione ad attività cibernetica dannosa del governo nordcoreano”.

DHS e l’FBI 

Non è la prima volta che il DHS e l’FBI hanno emesso un avviso congiunto per avvertire gli utenti e le organizzazioni del malware Hidden Cobra.

Alla fine dell’anno scorso, i dipartimenti americani hanno messo in guardia sul malware FastCash. Hidden Cobra lo utilizzò dal 2016 per compromettere i server di applicazioni di pagamento nelle banche in Africa e in Asia .

Poco meno di un anno fa, il DHS e l’FBI hanno anche pubblicato un avviso che avverte gli utenti di due diversi malware:

  • un trojan ad accesso remoto (RAT) completamente funzionante, noto come Joanap.
  • un worm Server Message Block (SMB) chiamato Brambul-linked to Hidden Cobra.

Nel 2017, l’US-CERT ha anche emesso un avviso che descrive in dettaglio il malware Hidden Cobra chiamato Delta Charlie-uno strumento DDoS che gli hacker nordcoreani utilizzano per lanciare attacchi distribuiti di denial-of-service contro i suoi bersagli.