De FBI en het Amerikaanse ministerie van Homeland Security hebben de Noord-Koreaanse overheid opnieuw beschuldigd van het gebruik van malware. Het gaat dit keer om een Trojan genaamd "Hoplight", een verzameling van in totaal negen kwaadaardige uitvoerbare bestanden.

Deze bestanden verzamelen informatie over het systeem van het slachtoffer, zoals Windowsversie, systeemschijven, systeemtijd en andere data. Ook kan de malware gegevens stelen en aanvullende malware installeren, alsmede verbinding met een remote host maken. De meeste Hoplight-bestanden zijn proxy-applicaties die het verkeer tussen de malware en de aanvallers maskeren. De proxies kunnen via publieke geldige tls-certificaten valse TLS-handshakesessies genereren. Op deze manier worden de netwerkverbindingen met de aanvallers verborgen.

In de waarschuwing over Hoplight geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen.

Verder doet de FBI aanbevelingen om infecties door malware te voorkomen, zoals het updaten van anti-virussoftware en besturingssysteem, het uitschakelen van bestands- en printerdeling, het beperken van de rechten van gebruikers, het afdwingen van veilige wachtwoorden, voorzichtig zijn met e-mailbijlagen, het inschakelen van een personal firewall, het uitschakelen van onnodige diensten, het monitoren van het browsegedrag van gebruikers, het scannen van alle gedownloade bestanden en voorzichtig zijn in het gebruik van verwijderbare media.

De afgelopen jaren heeft de FBI meerdere keren gewaarschuwd voor "Noord-Koreaanse" malware. Vorig jaar februari, maart, mei en juni verschenen er rapporten, alsmede eind 2017.