Hacker inviano Monero alla Kim Il Sung University in Corea del Nord

Cybercrime Botnet Ransomware Malware Monero Hacker KimIlSungUniversity Coreadelnord Pyongyang Kimjongun Cryptocurrency Criptovaluta Lazarus Andariel Alienvault Bluenorroff Bitcoin Cybersecurity Sicurezzainformatica Cybercrime

Qualcuno invia Monero alla Corea del Nord. Deception o nuovo tentativo degli hacker di Kim Jong-un di finanziare il regime?

Qualcuno forse sta inviando la cryptocurrency Monero all’Università della Corea del Nord. Lo hanno scoperto i ricercatori di sicurezza informatica di AlienVault. Gli esperti hanno identificato un’applicazione, nata alla vigilia di Natale 2017, che installa un miner per la criptovaluta. Questa poi viene inviata all’ateneo. Non è detto, però, che sia realmente così. Innanzitutto, non c’è certezza che gli sviluppatori provengano dal regime di Kim Jong-un. Inoltre, la destinazione della valuta digitale poterebbe essere un tentativo di ingannare i cyber analisti. Di contro, c’è il fatto ormai appurato che gruppi di hacker di stato di Pyongyang, come Bluenorroff e Andariel, da tempo operano nel cyberspazio come costola di Lazarus per rubare più Monero possibile e girarli al governo della nazione asiatica. Di conseguenza, c’è il forte sospetto nella comunità che anche in questo caso ci possano essere collegamenti reali con il paese.

Come funziona la cyber applicazione che fa mining di cryptocurrency verso Pyongyang

L’installer per i Monero appena attivato copia un file chiamato ntelservice.exe nel sistema della vittima. Questo poi viene eseguito e lancia “xmrig”, un programma già associato a cyber campagne per sfruttare vulnerabilità di server IIS non patchati. Lo scopo e fare mining per la cryptocurrency. L’indirizzo del wallet della criptovaluta, la password (KJU, che gli esperti di sicurezza informatica di AlienVault ipotizzano sia riferibile a Kim Jong-un) e la scelta del server barjuok.ryongnamsan.edu.kp come destinazione della valuta digitale puntano il dito su Pyongyang . E in particolare sulla Kim Il Sung University. Peraltro, il campione di malware scoperto contiene messaggi per il debugging e falsi filename per evitare di essere scoperto. Gli hacker che lo hanno creato, infine, presumibilmente si trovano presso l’ateneo. Ma non è detto che siano originari della Corea del Nord. L’università, infatti, è una delle poche istituzioni aperte. Tanto che ha numerosi docenti e studenti stranieri.

 

Il post integrale di AlienVault sul malware che da Natale sta facendo mining di cryptocurrency. Monero, che poi vengono girati a Pyongyang

Un articolo di Difesa & Sicurezza sugli ultimi cyber attacchi di Andariel, allo scopo di rubare Monero per la Corea del Nord