Operation Sharpshooter è il nome del server che il governo degli Stati Uniti ha individuato e sequestrato, per motivi di sicurezza nazionale. Pare infatti, che la macchina in questione fosse quella utilizzata dagli hacker nordcoreani per diffondere una campagna di malware indirizzata a istituzioni, agenzie di telecomunicazione e soggetti attivi nel campo della difesa. L’attività, scoperta a dicembre del 2018, legherebbe gli hacker con Pyongyang, senza troppe sorprese.
Cuore di Operation Sharpshooter è l’invio di un documento Word malevolo tramite email che, una volta aperto, esegue un macro-codice per scaricare un impianto di secondo stadio, soprannominato Rising Sun, che gli hacker solevano utilizzare in via di ricognizione, col fine di rubare i dati degli utenti. Il gruppo Lazarus, collegato alla Corea del Nord, è stato il principale sospettato del lancio dell’operazione, a causa della sovrapposizione con un codice simile utilizzato in precedenza. Tale legame, c’è da dire, non è mai stato confermato. McAfee, che ha analizzato il server, è deciso a sciogliere ogni dubbio in materia.
Si tratta di un risultato unico dopo anni e anni di ricerca sulle minacce provenienti dalla Corea del Nord – ha spiegato Christiaan Beek, capo e senior engineer principale di McAfee – avendo visibilità sul server di comando e controllo, siamo stati in grado di scoprire informazioni preziose che portano a ulteriori indizi.
La mossa del governo americano è rientrata in un più ampio progetto che vuole capire meglio le minacce provenienti dalla Corea del Nord, un paese che negli ultimi anni ha prodotto un bel po’ di problemi, anche economici alle multinazionali. Pensiamo all’hack di Sony nel 2016 e all’esplosione del ransomware WannaCry nel 2017, così come agli attacchi mirati alle imprese globali. A quanto sembra, Operation Sharpshooter è rimasto operativo molto più a lungo di quanto ritenuto inizialmente e ha mirato una serie più ampia di settori e paesi, inclusi servizi finanziari e infrastrutture in Europa, Regno Unito e Stati Uniti.