Sommario
La National Security Agency (NSA), in collaborazione con il Federal Bureau of Investigation (FBI) e il Dipartimento di Stato degli Stati Uniti, ha emesso un nuovo Avviso di Sicurezza Informatica (CSA) per affrontare le vulnerabilità e le minacce sfruttate dagli attori nordcoreani. Questi attori hanno utilizzato politiche deboli di Domain-based Message Authentication, Reporting and Conformance (DMARC) per facilitare attacchi di spearphishing, rappresentando una significativa minaccia per la sicurezza nazionale e globale.
Dettagli dell’avviso
L’avviso evidenzia come gli attori informatici nordcoreani, in particolare quelli associati al gruppo Kimsuky, sfruttino le debolezze di DMARC per inviare email che sembrano provenire da fonti legittime come giornalisti, accademici o esperti in affari est asiatici. Queste email mirano a raccogliere informazioni sensibili sugli eventi geopolitici e sulle strategie di politica estera che potrebbero impattare la Corea del Nord. Migliorando le configurazioni DMARC, le organizzazioni possono ridurre significativamente l’efficacia di questi tentativi di phishing.
Tattiche operative degli attori nordcoreani
Gli operatori informatici nordcoreani conducono ricerche estese per elaborare campagne di spearphishing convincenti. Creano email ben adattate ai loro obiettivi, spesso utilizzando informazioni raccolte da violazioni precedenti. L’avviso delinea specifici segnali di allarme da cercare, come email con lievi errori di ortografia nei nomi legittimi o strutture di frasi insolite che potrebbero indicare un tentativo di phishing.
Strategie di mitigazione
Per combattere queste minacce, la NSA, l’FBI e il Dipartimento di Stato raccomandano diverse misure di mitigazione. Principalmente, consigliano alle organizzazioni di rafforzare le loro politiche DMARC per prevenire che gli attori informatici falsifichino i loro domini email. Una politica DMARC robusta garantisce che le email non autenticate tramite SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) siano segnalate o rifiutate, riducendo la possibilità di attacchi di phishing riusciti.
Implementazione e impatto globale
L’avviso funge anche da appello all’azione per le organizzazioni di tutto il mondo affinché adottino queste misure di sicurezza per proteggersi dalle attività informatiche sponsorizzate dallo stato. Seguendo le strategie di mitigazione delineate, le entità possono salvaguardare le loro comunicazioni e ridurre la probabilità di essere compromesse da sofisticate operazioni di spionaggio informatico.
L’avviso congiunto di NSA, FBI e Dipartimento di Stato sottolinea la minaccia continua rappresentata dagli attori informatici nordcoreani e la necessità globale di migliorare i protocolli di sicurezza email. Man mano che le minacce informatiche continuano a evolversi, anche le difese dei governi, delle aziende e degli individui devono potenziarsi per proteggere le informazioni sensibili e mantenere la sicurezza nazionale.
