Skip to main content

Hacker di stato e le nuove campagne di cyberspionaggio

|

Cyberspionaggio: una nuova campagna di spionaggio condotta da un gruppo hacker sponsorizzato dallo stato è attiva con l’intento di rubare informazioni.

Il Threat Hunter Team di Symantec, una divisione di Broadcom (NASDAQ: AVGO), che lo ha scoperto, ha precisato che gli attacchi – diretti contro organizzazioni in Cina, Taiwan, Giappone e Stati Uniti – sono stati collegati ad un gruppo di spionaggio noto come Palmerworm – alias BlackTech – che ha una storia di campagne che risalgono al 2013. I suoi attacchi sono rimasti inosservati su un sistema compromesso per quasi sei mesi, prendendo di mira le organizzazioni nei settori dei media, dell’edilizia, dell’ingegneria, dell’elettronica e della finanza.

Hacking e spionaggio

Cyberspionaggio: gli attacchi mirati dei gruppi APT

L’attività dei gruppi ATP – che continuano ad essere molto attivi – è sempre più difficile da rilevare: ciò sottolinea la necessità di avere soluzioni complete di sicurezza in grado di rilevarli. APT, ovvero advanced persistent threat, sono una tipologia di attacchi mirati e persistenti:

APT come ‘attacco’ e APT come ‘gruppo hacker’. Nel primo caso, si intente un cyberattacco mirato e persistente. Nel secondo caso, ci riferiamo al gruppo, spesso ben finanziato, che ha organizzato l’attacco.

Kaspersky.it – Che cos’è una APT?

Gli attacchi APT quindi sono attacchi mirati volti principalmente ad infettare un computer di una persona specifica: l’obiettivo finale è infatti quello di compromettere un computer con specifici dati di valore. Tutto ciò avviene spesso colpendo obiettivi lontani dall’obiettivo finale, per poi organizzare attacchi a catena per raggiungere l’obiettivo finale

Le principali motivazioni del gruppo Palmerworm APT, considerato un gruppo di spionaggio, potrebbero essere quindi quelle di rubare informazioni da aziende mirate. Secondo quanto affermato da Symantec la sua attività è rimasta inosservata per quasi sei mesi.

La campagna del gruppo Palmerworm – BlackTech

Per la campagna di Cyberspionaggio il gruppo Palmerworm utilizza una combinazione di malware personalizzato, strumenti a doppio uso e tattiche di vita fuori terra in questa campagna. Palmerworm è attiva almeno dal 2013, con la prima attività vista in questa campagna nell’agosto 2019.

Anche se le loro motivazioni non appaiono chiare, si pensa che il gruppo stia espandendo le campagne per abbracciare una serie di obiettivi più ampia e geograficamente diversificati. Infatti la maggior parte di questi attacchi non sono affatto un singolo evento, ma parte di una lunga catena per saltare da un computer all’altro.

Gli strumenti utilizzati sono dual-use e malware personalizzato,da utilizare solo quando necessario:

  • Backdoor.Consock
  • Backdoor.Waship
  • Backdoor.Dalwit
  • Backdoor.Nomri

Oltre a queste 4 backdoor, vengono utilizzati diversi strumenti a duplice uso, tra cui: Putty, PSExec, SNScan – per la ricognizione di rete – e WinRAR. Il malware trojan fornisce agli aggressori una backdoor segreta nella rete: PSExec e SNScan, vengono sfruttati per muoversi nella rete e WinRar viene utilizzato per comprimere i file, rendendoli più facili per gli aggressori da estrarre.

Leggi l’analisi su Symantec.it