Un gruppo di hacker nordcoreani finanziati dal governo sta cercando di attaccare i suoi diretti avversari dall'altra parte della barricata - vale a dire i ricercatori di sicurezza, o gli hacker "White Hat", colpendoli individualmente attraverso un "nuovo metodo di social engineering", stando a quanto dichiara Google Threat Analysis Group. La task force ritiene che l'operazione sia in corso ormai da diversi mesi, e che il vettore di attacco preferito siano vulnerabilità sconosciute di Windows 10 e Google Chrome - anche delle ultime versioni, il che è particolarmente preoccupante.

Non è perfettamente chiaro se gli hacker abbiano un obiettivo preciso, ma tra le vittime è emerso piuttosto rapidamente un denominatore comune: tutte lavorano sulla ricerca e sviluppo di nuove vulnerabilità. Insomma, potremmo chiamarla una missione di rifornimento munizioni, solo che in questo caso le "munizioni" sono exploit freschi freschi da sfruttare nel prossimo attacco.

L'approccio scelto per questa operazione è decisamente ingegnoso. Gli hacker, dice Google, hanno messo in piedi un blog e una serie di account social di ricercatori di sicurezza fasulli, cercando di crearsi una reputazione e una credibilità rispettabili. Il blog non scopriva niente di nuovo: semplicemente illustrava e raccontava nel dettaglio vulnerabilità già note. Gli account Twitter pubblicavano link al blog, ma non solo - anche ad altri exploit, che in almeno un caso si sono dimostrati fasulli.

Alcuni ricercatori sono stati infettati semplicemente visitando il blog - come dicevamo a inizio articolo, a quanto pare gli hacker stanno sfruttando delle vulnerabilità di Chrome e Windows 10, anche aggiornati alle rispettive ultime versioni, che ancora non sono state scoperte "dai buoni", e quindi molto pericolose. Altri ancora sono stati invece contattati dal blog fasullo con una proposta di collaborazione; il sito sembrava legittimo e molti hanno acconsentito. Si sono visti arrivare un progetto di Visual Studio, che però conteneva malware: una volta infettato il sistema, iniziava a dialogare con server esterni.

Google osserva che l'operazione organizzata dal gruppo è stata studiata meticolosamente ed è stata realizzata con altrettanta cura: il sito risultava credibile, gli account Twitter lo stesso, e per contattare i ricercatori venivano usati molteplici canali di comunicazione, come Discord, Telegram e addirittura LinkedIn per depistarli. Nel suo post di annuncio, Google segnala i nomi degli account fasulli su svariate piattaforme: chiunque ci abbia avuto a che fare è caldamente invitato a fare un controllo approfondito del proprio sistema. L'attacco dimostra, per chi non ne fosse ancora convinto, che nessuno è immune alle truffe online, e non importa quanto sei attento, il rischio che ti sfugga qualcosa c'è sempre.

Threat Analysis Group, ricordiamo, è una delle due iniziative di Google nell'ambito della cybersicurezza. Si affianca a Project Zero: la prima si occupa degli attacchi hacker più ad alto profilo, in cui si confondono i confini con lo spionaggio e la guerra cibernetica internazionale. Project Zero si occupa invece di ricercare vulnerabilità, anche gravi naturalmente ma condotti da privati (il cui scopo è prevalentemente il lucro), su dispositivi, applicazioni e servizi.