Symantec ha individuato due codici diversi nell’attacco che ha colpito siti web sudcoreani, Avast studia la fonte da dove sono partiti
Nel recente attacco che ha visto cadere sotto i colpi degli hacker del “Whois Team” siti web di reti televisive e istituti bancari sudcoreani, Symantec ha trovato traccia di alcuni malware scritti con codice Linux. Gli esperti dell’azienda di sicurezza hanno analizzato il codice derivante dagli attacchi informatici trovando componenti sviluppati per infettare e distruggere file sui computer violati. L’analisi di Symantec ha rilevato che nel codice del malware (chiamato Jokra) che ha attaccato le macchine Windows delle aziende in Sud Corea sono presenti tracce di componenti Linux, anch’essi parte di un malware specifico.
Le parole di Symantec
“E’ raro trovare malware fatti da componenti provenienti da diversi sistemi operativi – si legge sul blog – quindi è interessante scoprire che gli aggressori hanno incluso un componente specifico per attaccare macchine Linux all’interno di una minaccia Windows”. Attraverso un programma chiamato mRemote, Jokra può controllare computer che eseguono Windows XP e 7, permettendo che vengano eseguite azioni in remoto.
Le indagini coreane
Le autorità sudcoreane stanno indagando sugli attacchi che hanno colpito almeno tre emittenti televisive e quattro banche (ma la lista potrebbe essere più lunga) e anche se c’è una certa cautela sugli attacchi, un occhio di “riguardo” è verso la Corea del Nord, che ha più volte minacciato il Sud e gli USA, rei di collaborare contro gli interessi di Pyeongchang.
Secondo Avast c’è già una traccia
Secondo la software house Avast, che produce l’omonimo antivirus, gli attacchi contro le banche della Corea del Sud sono partiti dal sito web del Consiglio Coreano del diritto di proprietà del software, con sede a Seoul. Il sito era stato violato per consentire l’invio di codice maligno verso l’esterno a insaputa dei gestori legittimi.
