Un team di ricercatori di sicurezza informatica ha affermato di essere risalito alla nazionalità degli hacker che hanno violato i sistemi di JumpCloud, un’azienda che sviluppa sofware per le aziende. La scoperta sarebbe stata resa possibile da un errore commesso dagli hacker stessi. “Sono al soldo della Corea del Nord“, hanno spiegato i ricercatori di Mediant.
Mandiant, che ha aperto la sua indagine su mandato di una delle aziende coinvolte dall’attacco, ha attribuito l’incidente agli hacker che lavorando per il Bureau Generale di Ricognizione della Corea del Nord. Si tratta di un’unità di hacking che prende di mira le società, specie quelle che operano nel settore delle criptovalute, e che in passato si era fatto notare rubando le credenziali d’accesso dei dirigenti di alcune grandi aziende. Da ormai numerosi anni, la Corea del Nord – un Paese politicamente isolato e con un’economia in ginocchio a causa delle sanzioni – utilizza gli attacchi hacker, le frodi informatiche e il furto di criptovalute per finanziarsi.
In un post sul blog dell’azienda, il team Mandiant ha affermato che l’unità di hacking, che chiama con l’identificativo UNC4899, ha erroneamente esposto gli indirizzi IP dei suoi membri. I ricercatori si dicono estremamente fiduciosi del fatto che non si tratti di un attacco false flag, ma che dietro all’incidente ci siano davvero i nordcoreani, anche in virtù di alcuni altri indizi che portano a modus operandi e strategie di attacco precedentemente già usati dalla dittatura.
Nonostante l’errore commesso, gli hacker della Corea del Nord continuano ad essere una minaccia per gli utenti e le aziende occidentali. «I threat actor legati alla Corea del Nord continuano a migliorare le loro capacità offensive informatiche per rubare criptovalute», ha affermato il CTO di Mandiant, Charles Carmakal. «Nell’ultimo anno, abbiamo visto condurre molteplici attacchi alla catena di approvvigionamento, gli abbiamo visti avvelenare software legittimi, iniettando in gran segreto del codice malevolo all’interno di software distribuiti su scala mondiale, li abbiamo osservati distribuire malware personalizzati progettati per aggredire i sistemi basati su MacOS».
«Vogliono compromettere le aziende che si occupano di criptovalute – continua Carmakal – e sono molto bravi a farlo, riescono sempre a penare a strategie molto creative per superare le misure di sicurezza e ottenere quello che vogliono. Fortunatamente, come avvenuto in questo caso, a volte commettono degli errori».
Sull’argomento, leggi anche: