Hacker nordcoreani sfruttano la blockchain in una nuova campagna chiamata "EtherHiding"

Una nuova minaccia informatica sta emergendo dalla Corea del Nord, poiché i suoi hacker sostenuti dallo stato stanno sperimentando l'inserimento di codice dannoso direttamente nelle reti blockchain.

Il Threat Intelligence Group (GTIG) di Google ha riportato il 17 ottobre che questa tecnica, chiamata EtherHiding, rappresenta una nuova evoluzione nel modo in cui gli hacker nascondono, distribuiscono e controllano malware attraverso sistemi decentralizzati.

Cos'è EtherHiding?

GTIG ha spiegato che EtherHiding consente agli aggressori di trasformare in armi gli smart contract e le blockchain pubbliche come Ethereum e BNB Smart Chain, utilizzandole per archiviare payload dannosi.

Una volta che un pezzo di codice viene caricato su questi registri decentralizzati, rimuoverlo o bloccarlo diventa quasi impossibile a causa della loro natura immutabile.

“Sebbene gli smart contract offrano modi innovativi per costruire applicazioni decentralizzate, la loro natura immodificabile viene sfruttata in EtherHiding per ospitare e fornire codice dannoso in un modo che non può essere facilmente bloccato,” ha scritto GTIG.

In pratica, gli hacker compromettono siti web WordPress legittimi, spesso sfruttando vulnerabilità non corrette o credenziali rubate.

Dopo aver ottenuto l'accesso, inseriscono alcune righe di JavaScript—conosciute come “loader”—nel codice del sito web. Quando un visitatore apre la pagina infetta, il loader si connette silenziosamente alla blockchain e recupera il malware da un server remoto.

EtherHiding su BNB Chain ed Ethereum. Fonte: Google Threat Intelligence Group

GTIG ha sottolineato che questo attacco spesso non lascia tracce visibili di transazioni e richiede poche o nessuna commissione perché avviene off-chain. Questo, in sostanza, permette agli aggressori di operare inosservati.

In particolare, GTIG ha rintracciato la prima istanza di EtherHiding a settembre 2023, quando è apparsa in una campagna nota come CLEARFAKE, che ingannava gli utenti con falsi avvisi di aggiornamento del browser.

Come prevenire l'attacco

I ricercatori di cybersecurity affermano che questa tattica segnala un cambiamento nella strategia digitale della Corea del Nord, che passa dal semplice furto di criptovalute all'utilizzo della blockchain stessa come arma furtiva.

“EtherHiding rappresenta un passaggio verso l'hosting a prova di proiettile di nuova generazione, dove le caratteristiche intrinseche della tecnologia blockchain vengono riutilizzate per scopi dannosi. Questa tecnica sottolinea la continua evoluzione delle minacce informatiche, mentre gli aggressori si adattano e sfruttano nuove tecnologie a loro vantaggio,” ha dichiarato GTIG.

John Scott-Railton, ricercatore senior presso Citizen Lab, ha descritto EtherHiding come un “esperimento nelle fasi iniziali”. Ha avvertito che combinarlo con l'automazione guidata dall'IA potrebbe rendere i futuri attacchi molto più difficili da rilevare.

“Mi aspetto che gli aggressori sperimentino anche il caricamento diretto di exploit zero click sulle blockchain, prendendo di mira sistemi e app che elaborano le blockchain… specialmente se a volte sono ospitati sugli stessi sistemi e reti che gestiscono le transazioni o hanno wallet,” ha aggiunto.

Questa nuova modalità di attacco potrebbe avere gravi implicazioni per l'industria crypto, considerando che gli aggressori nordcoreani sono particolarmente prolifici.

I dati di TRM Labs mostrano che i gruppi collegati alla Corea del Nord hanno già rubato oltre 1.5 billions di asset crypto solo quest'anno. Gli investigatori ritengono che questi fondi aiutino a finanziare i programmi militari di Pyongyang e gli sforzi per eludere le sanzioni internazionali.

Alla luce di ciò, GTIG ha consigliato agli utenti crypto di ridurre il rischio bloccando download sospetti e limitando gli script web non autorizzati. Il gruppo ha inoltre esortato i ricercatori di sicurezza a identificare ed etichettare il codice dannoso incorporato nelle reti blockchain.