Un gruppo di pirati informatici sospettato di dipendere dal governo della Corea del Nord ha preso di mira ricercatori e istituzioni accademiche americane tramite una finta estensione per Google Chrome. È la prima volta che un’Apt (Advanced Persistent Threat, gruppi di hacker che spesso lavorano su impulso di un Governo) utilizza un’estensione di questo tipo sul browser di Google, anche se in passato ne sono state scoperte di simili su Firefox. L’attacco è stato individuato e studiato dagli analisti di Netscout, che hanno provveduto a informare le parti coinvolte prima di pubblicare un report.
L’attacco
Stolen Pencil, la matita rubata: questo il nome in codice scelto dai ricercatori di Netscout per identificare la campagna di intrusione, rivolta contro il mondo accademico. Tramite una campagna di phishing mirata, gli attaccanti hanno cercato di attirare le loro prede su delle copie di siti web realmente esistenti, ancora online secondo Zdnet. Una volta scaricato un normale file Pdf, questo forzava gli utenti a installare l’estensione Auto Font Manager per essere aperto. Una volta lanciato, il software sarebbe stato in grado di sottrarre password e cookies agli utenti colpiti, si legge nel report.
La struttura dell’attacco, così come i suoi bersagli, fa ipotizzare che l’obiettivo sia l’esfiltrazione di informazioni industriali, brevetti e scoperte tecnologiche. Nella quarta rivoluzione industriale, che vede nell’automazione e nella cibernetica il futuro della produzione, diventa ancora più importante per ogni Paese essere al passo con lo sviluppo globale. Ma la corsa non si compone dei soli investimenti in ricerca e sviluppo, spesso affiancati da operazioni di spionaggio industriale o sabotaggio. Pratiche rese estremamente più facili nel mondo interconnesso.
La pista coreana
I siti web falsi sono ospitati su dei server che sarebbero stati già usati in precedenza in altri attacchi contro università e istituti di ricerca. Nella loro analisi, gli esperti hanno trovato indizi che fanno pensare a traduzioni approssimative dal coreano all’inglese, utilizzando strumenti per la traduzione online. Secondo Zdnet, i metadati della estensione utilizzata ricondurrebbero a un gruppo di hacker noto col nome di Kimusky, già catalogato nel 2013 in un’indagine di Kaspersky Lab.