Hackerano JumpCloud, ma vengono beccati perché non hanno mascherano bene l’IP: la gaffe degli hacker nordcoreani

Un team di ricercatori di sicurezza informatica ha affermato di essere risalito alla nazionalità degli hacker che recentemente hanno violato i sistemi di JumpCloud.

di Umberto Stentella

Un team di ricercatori di sicurezza informatica ha affermato di essere risalito alla nazionalità degli hacker che hanno violato i sistemi di JumpCloud, un’azienda che sviluppa sofware per le aziende. La scoperta sarebbe stata resa possibile da un errore commesso dagli hacker stessi. “Sono al soldo della Corea del Nord“, hanno spiegato i ricercatori di Mediant.

Mandiant, che ha aperto la sua indagine su mandato di una delle aziende coinvolte dall’attacco, ha attribuito l’incidente agli hacker che lavorando per il Bureau Generale di Ricognizione della Corea del Nord. Si tratta di un’unità di hacking che prende di mira le società, specie quelle che operano nel settore delle criptovalute, e che in passato si era fatto notare rubando le credenziali d’accesso dei dirigenti di alcune grandi aziende. Da ormai numerosi anni, la Corea del Nord – un Paese politicamente isolato e con un’economia in ginocchio a causa delle sanzioni – utilizza gli attacchi hacker, le frodi informatiche e il furto di criptovalute per finanziarsi.

In un post sul blog dell’azienda, il team Mandiant ha affermato che l’unità di hacking, che chiama con l’identificativo UNC4899, ha erroneamente esposto gli indirizzi IP dei suoi membri. I ricercatori si dicono estremamente fiduciosi del fatto che non si tratti di un attacco false flag, ma che dietro all’incidente ci siano davvero i nordcoreani, anche in virtù di alcuni altri indizi che portano a modus operandi e strategie di attacco precedentemente già usati dalla dittatura.

Nonostante l’errore commesso, gli hacker della Corea del Nord continuano ad essere una minaccia per gli utenti e le aziende occidentali. «I threat actor legati alla Corea del Nord continuano a migliorare le loro capacità offensive informatiche per rubare criptovalute», ha affermato il CTO di Mandiant, Charles Carmakal. «Nell’ultimo anno, abbiamo visto condurre molteplici attacchi alla catena di approvvigionamento, gli abbiamo visti avvelenare software legittimi, iniettando in gran segreto del codice malevolo all’interno di software distribuiti su scala mondiale, li abbiamo osservati distribuire malware personalizzati progettati per aggredire i sistemi basati su MacOS».

«Vogliono compromettere le aziende che si occupano di criptovalute – continua Carmakal – e sono molto bravi a farlo, riescono sempre a penare a strategie molto creative per superare le misure di sicurezza e ottenere quello che vogliono. Fortunatamente, come avvenuto in questo caso, a volte commettono degli errori».

Sull’argomento, leggi anche: 

Gli hacker nordcoreani erano una barzelletta, ora sono una delle peggiori minacce globali
TAG
Furti di criptovalute, gli hacker nordcoreani si preparano ad incassare
Furti di criptovalute, gli hacker nordcoreani si preparano ad incassare
Un malware nordcoreano consente di spiare le email senza destare sospetti
Un malware nordcoreano consente di spiare le email senza destare sospetti
Il crollo delle criptovalute ha messo in difficoltà anche la Corea del Nord
Il crollo delle criptovalute ha messo in difficoltà anche la Corea del Nord
La Corea del Nord ostaggio di un 'hacker amatoriale': tutti i siti del regime offline
La Corea del Nord ostaggio di un 'hacker amatoriale': tutti i siti del regime offline
Nel 2021 la Corea del Nord ha rubato criptovalute e NFT per 400 mln di dollari
Nel 2021 la Corea del Nord ha rubato criptovalute e NFT per 400 mln di dollari
La Corea del Nord ha testato un nuovo missile balistico nel Mar del Giappone
La Corea del Nord ha testato un nuovo missile balistico nel Mar del Giappone
Pfizer, la Corea del Nord ha tentato un attacco informatico contro la casa farmaceutica
Pfizer, la Corea del Nord ha tentato un attacco informatico contro la casa farmaceutica