Hackers που συνδέονται με τη Βόρεια Κορέα εκμεταλλεύτηκαν backdoor στον Hangul, τον διασημότερο επεξεργαστή κειμένου, ευρέως διαδεδομένο στα γραφεία της κυβέρνησης της Νότιας Κορέας. Η διαδικτυακή μάχη με στόχο την κατασκοπεία καλά κρατεί σε παγκόσμιο επίπεδο!
Σύμφωνα με έρευνα της εταιρίας FireEye, οι επιτιθέμενοι χρησιμοποίησαν ένα γνωστό θέμα ευπάθειας (CVE-2015 – 6585), το οποίο όμως έχει επιδιορθωθεί από τη Δευτέρα 7 Σεπτεμβρίου.
Το zero-day exploit βρισκόταν σε ένα έγγραφο τύπου .hwpx (παρόμοιο με .docx που χρησιμοποιείται από το Microsoft Office), το οποίο εκμεταλλευόταν σφάλματα στον επεξεργαστή κειμένου Hangul (ο διασημότερος επεξεργαστής κειμένου στην Κορέα, αντίστοιχος του Word της Microsoft) για να ανοίξει μια backdoor (κερκόπορτα) στο λογισμικό.
Σύμφωνα με την εταιρεία ασφαλείας FireEye, αυτή την κερκόπορτα, που ονομάζεται HANGMAN (ΚΡΕΜΑΛΑ), είναι ικανή να κλέβει αρχεία και να τα αποστέλλει σε ένα Command & Control Server, ενώ επίσης είναι σε θέση να κατεβάσει νέα αρχεία στον υπολογιστή του θύματος.
Η κερκόπορτα Hangman ήταν επίσης πολύ καλά σχεδιασμένη, αφού χρησιμοποιούσε συνδέσεις SSL για την κρυπτογράφηση των επικοινωνιών της με τον C&C Server (διακομιστή διοίκησης και ελέγχου), κρύβοντας τη μεταφορά δεδομένων από τα αδιάκριτα βλέμματα.
Η στόχευση στο ιδιόκτητο λογισμικό επεξεργασίας κειμένου της Νότιας Κορέας υποδηλώνει σαφώς ένα ιδιαίτερο ενδιαφέρον για προς την Ν.Κορέα, και με βάση τις ομοιότητες του κώδικα που χρησιμοποιήθηκε καθώς και τις υποδομές, Η FireEye Intelligence εκτιμά ότι αυτή η δραστηριότητα πιθανά σχετίζεται με παράγοντες της Βόρειας Κορέας.
Για περισσότερες και σε βάθος τεχνικές λεπτομέρειες που αφορούν την κατανομή της επίθεσης, μπορείτε να κατεβάσετε την πλήρη έκθεση της FireEye (PDF).