Sicurezza

Cyberspionaggio: nuove tecniche e nuove vittime

77
PMI

Nel 2013, un gruppo di hacker noto a Kaspersky Lab come “Wild Neutron” (conosciuto anche come “Jripbot” e “Morpho”), ha attaccato diverse aziende di alto profilo tra cui Apple, Facebook, Twitter e Microsoft. A seguito dell’enorme pubblicità fatta a questo attacco il gruppo criminale ha interrotto la propria attività per quasi un anno per poi riprendere verso la fine del 2013 e continuare fino al 2015. Il gruppo utilizza un certificato di verifica di validità del codice rubato e uno sconosciuto exploit Flash Player per infettare aziende e utenti privati di tutto il mondo e rubare informazioni aziendali sensibili.

I ricercatori di Kaspersky Lab sono riusciti ad identificare le aziende obiettivo di Wild Neutron situate in 11 paesi diversi tra cui Francia, Russia, Svizzera, Germania, Austria, Palestina, Slovenia, Kazakistan, Emirati Arabi Uniti, Algeria e Stati Uniti.

Gli obiettivi degli attacchi indicano che non si tratta di gruppi criminali sponsorizzati da uno stato-nazione. Tuttavia, l’utilizzo di zero-day e malware multi-piattaforma, così come l’utilizzo di altre tecniche ha fatto pensare ai ricercatori di Kaspersky Lab che si potesse trattare di un’organizzazione molto potente che si occupa di cyberspionaggio probabilmente per motivi economici.

L’attacco

Il vettore iniziale dell’infezione dei recenti attacchi è ancora sconosciuto, anche se esistono chiare indicazioni che le vittime sono state infettate attraverso un kit che sfrutta un exploit Flash Player sconosciuto e inviato attraverso siti web compromessi. L’exploit fornisce un malware dropper package alla vittima.

Negli attacchi osservati dai ricercatori di Kaspersky Lab, il dropper è stato firmato con un certificato di verifica del codice legittimo. L’utilizzo dei certificati consente al malware di evitare il rilevamento da parte di alcune soluzioni di protezione. Inoltre, il certificato utilizzato negli attacchi Wild Neutron sembra rubato da un produttore di elettronica di consumo molto noto. Il certificato è stato revocato.

Una volta entrato nel sistema, il dropper installa la backdoor principale.

In termini di funzionalità, la backdoor principale non è molto diversa da molti altri strumenti di accesso da remoto (Remote Access Tools, RATs). La particolarità principale è l’attenzione del criminale nel nascondere l’indirizzo del server di comando e controllo (C&C) e la sua capacità di riattivarsi in seguito all’arresto del C&C. Il server di comando e controllo è una parte importante di questa infrastruttura nociva in quanto funge da “casa madre” per il malware introdotto sul dispositivo della vittima. Misure speciali integrate nel malware aiutano i criminali a proteggere l’infrastruttura da ogni possibile takedown del server C&C.

Origine misteriosa

L’origine dei criminali rimane un mistero. In alcuni sample, la configurazione criptata comprende la stringa “La revedere” (“arrivederci” in romeno) per sottolineare la fine delle comunicazioni C&C. Inoltre, i ricercatori di Kaspersky Lab hanno trovato un’altra stringa non in lingua inglese: si tratta della trascrizione in caratteri latini della parola russa “Успешно” (“uspeshno” -> “con successo).

 

Ultime notizie
Economia

Eurispes, Fara: “Lo Stato torni proprietario e gestore delle grandi infrastrutture del paese”

"Autostrade, telecomunicazioni, energia, porti e grande logistica: dopo gli anni delle privatizzazioni per fare cassa, il Paese deve tornare proprietario e gestore delle grandi infrastrutture e dire basta allo shopping delle multinazionali straniere"
di redazione
Il punto

Per rimettere in corsa l’Italia, veloci pit stop, non megariforme

È la mancanza di infrastrutture il primo freno alla crescita del Paese. Lo Stato spende meno di 20 miliardi di euro l’anno,...
di Corrado Giustiniani
International

Così la “Fortezza Europa” avalla i respingimenti in mare

Negli ultimi anni l’Unione europea è stata protagonista di una gestione sempre più securitaria dei flussi migratori che hanno investito il proprio territorio. La tesi viene spiegat in un saggio di Marco Omizzolo e Pina Sodano, presentato a Wocmes 2018, Congresso mondiale di studi mediorientali.
di Marco Omizzolo
International

Proposta shock: “Il voto ‘ignorante’ valga meno di quello informato”

Il suffragio universale? Sopravvalutato. Il voto ‘ignorante’ valga meno di quello ‘informato’. Il voto ponderato é la proposta di Dambisa Moyo, una importante economista americana, originaria dello Zambia, autrice del libro Edge of chaos
di Alfonso Lo Sardo
Sondaggi & Ricerche

Con un animale in casa, niente viaggio per la metà dei padroni

Nell’ultimo anno oltre 2 italiani su 10 hanno confessato di aver speso di più per viaggi e vacanze, nonostante la crisi non sia ancora del tutto superata. Ma l'amore per i propri animali e la paura del terrorismo frenano la voglia di viaggi.
di redazione
Salute

Il Piano Sanità del ministro Grillo: più fondi e meno liste d’attesa

Sanità e salute: il neo ministro Giulia Grillo ha illustrato le linne programmatiche del suo mandato. Vaccini, risorse per la sanità, liste d’attesa da ridurre e aumento della trasparenza.
di redazione
Ambiente

Porto Hub di Palermo. “Piano ecosostenibile da 435.000 posti”

Un nuovo porto Hub a Palermo: è il progetto dell’Eurispes, presentato a palazzo d’Orleans, sede della presidenza della Regione. Tutti i dettagli
di Alfonso Lo Sardo
Intervista

Educazione civica nelle scuole, Bruno Assumma: “Magistra vitae”

"L'educazione civica la personalità deve servire a stimolare una visione della vita e un "modus operandi" nella società", sostiene il professor Assumma.
di Valentina Renzopaoli
Intervista

Stefano Molina: «Educazione civica mirata allo sviluppo sostenibile»

Educazione civica nelle scuole: "Sì all'insegnamento dell'educazione civica, no al voto. La cittadinanza globale non è istruzione, ma educazione", sostiene Stefano Molina della Fondazione Agnelli
di Corrado Giustiniani
Intervista

Romeo (Lega): «La difesa deve essere legittima sempre»

Legittima difesa: "Se una persona sa che svaligiando una casa la farà sempre franca, non avrà nessun incentivo a smettere di delinquere". Il dibattito prosegue con l'opinione di Massimiliano Romeo, capogruppo della Lega al Senato.
di Corrado Giustiniani