Hackerii nord-coreeni de tip APT37, cunoscuți și sub denumirile de ScarCruft, Ricochet Chollima sau InkySquid, au lansat o campanie de spionaj cibernetic extrem de sofisticată, utilizând tehnologii noi pentru a pătrunde în cele mai bine protejate rețele, inclusiv sistemele izolate, considerate de mult timp printre cele mai sigure din lume. Această inițiativă, denumită Ruby Jumper, demonstrează o escaladare remarcabilă a capabilităților de hacking ale grupului sponsorizat de statul nord-coreean, arătând că nu doar atacurile directe, ci și metodele de evadare și infiltrare au evoluat considerabil.
Inovație tehnologică în atacurile asupra sistemelor air-gapped
Cea mai impresionantă realizare a campaniei Ruby Jumper constă în dezvoltarea și utilizarea unui set nou de instrumente malware customizate, destinat special sistemelor care nu sunt conectate la internet, denumite „air-gapped”. Timp de ani, aceste rețele, frecvent folosite de entități guvernamentale, militare sau de cercetare incognito, au fost considerate imune la atacuri externe. Însă noua strategie a grupului APT37 le pune în pericol într-un mod fără precedent, patrulând astfel limitele tradiționale de securitate fizică.
Campania introduce cinci componente malware necunoscute anterior: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK și FOOTWINE, fiecare având roluri specifice în cadrul unui complex lanț de atacuri. Tacticile includ utilizarea unor fișiere de tip shortcut (LNK), care sunt descărcate și executate silențios din suporturile de stocare externe, precum stick-urile USB. Această metodă permite infiltrarea în sisteme complet izolate, care nu avuseseră contact cu internetul anterior, demonstrație clară a adaptabilității grupului și a tehnicilor sale avansate.
Disimularea și controlul comunicațiilor
Una dintre cele mai ingenioase componente ale atacului este THUMBSBD, o „deviere” a modalităților clasice de comunicare, concepută pentru a transforma dispozitivele de stocare mobile în canale bidirecționale de comunicare criptată între rețelele conectate și cele închise. Practic, atunci când un gadget USB infectat este conectat la un calculator cu internet, THUMBSBD copiază fișierele de comenzi în directorul invizibil $RECYCLE.BIN. Ulterior, când același suport de stocare este conectat la un sistem complet izolat, malware-ul citește aceste fișiere și execută comenzile, fără ca utilizatorul să aibă vreo suspiciune.
Această metodă permite hackerilor să traverseze barierele fizice impuse de cripta air-gapped și să implementeze activități de supraveghere și furt de date sensibile, într-un mod subtil și dificil de detectat. În plus, virușii precum VIRUSTASK și FOOTWINE completează arsenalul, acționând pentru răspândirea malware-ului și, eventual, capturarea de informații esențiale precum tastări, clipuri sonore, video sau acces complet la sistem, totul printr-un canal criptat bazat pe un schimb de chei XOR.
Context și implicații pentru securitate globală
Această evoluție tehnologică a APT37 nu doar că schimbă percepția despre securitatea rețelelor interne, ci și ridică semne de întrebare cu privire la eficiența măsurilor de protecție clasice. În timp ce sistemele air-gapped sunt încă considerate bastioane ale securității, noua metodă de infiltrare demonstrează că un stat cu resurse și motivație geopolitică poate găsi soluții inovatoare pentru a penetra chiar și cele mai grele de acces rețele.
Cercetările indică faptul că țintele grupului Ruby Jumper includ organizații mediatice, alinierea cu narativele de propagandă nord-coreene și alte entități care pot furniza informații de interes pentru înțelegerile geopolitice ale regimului de la Phenian. Utilizarea unor documente-momeală traduse în limba arabă, despre conflictul palestiniano-israelian, este o indicație clară a interesului pentru regiunea Orientului Mijlociu și pentru interesul geopolitic al Coreei de Nord în această zonă.
Pe măsură ce cercetătorii avertizează asupra noilor posibilități de infiltrare și monitorizare, lumea privind cu tot mai mare atenție activitatea acestor hacking groups susținuți de stat, care își adaptează metodele la cele mai înalte standarde tehnologice. Se impune ca această evoluție să fie un semnal de alarmă pentru securitatea organizațiilor ce gestionează informații sensibile, în special cele încă folosesc sisteme izolate pentru protecție maximă. În fața unui astfel de inamic digital, trebuie reconsiderate strategii și măsuri de apărare, pentru a nu fi surprinși de o tehnologie atât de avansată și de adaptabilă.
Sursa: Go4IT
