Skip to main content

Tag: cyber spionaggio

Cyber Spionaggio Nord Corea Cina: la ricerca di CrowdStrike

Cyber spionaggio delle tecniche di hacking da parte della Nord Corea per rubare ai ricercatori cinesi tecniche e strategie.

Secondo una ricerca di CrowdStrike condivisa esclusivamente con The Daily Beast, hacker con sospetti legami con la dittatura di Pyongyang hanno perseguito i ricercatori cinesi della sicurezza in un apparente tentativo di spionaggio per rubare le loro tecniche di hacking.

Gli hacker nordcoreani – secondo CrowdStrike – avrebbero preso di mira i ricercatori di sicurezza cinesi con documenti esca in lingua cinese etichettati “Securitystatuscheck.zip” e “_signed.pdf“, nella speranza che i ricercatori sarebbero stati costretti a fare clic sulle esche.

I documenti, che CrowdStrike ha scoperto a giugno, contenevano informazioni sulla sicurezza informatica del Ministero della Pubblica Sicurezza cinese e del Comitato tecnico nazionale per la standardizzazione della sicurezza delle informazioni.

Cyber Spionaggio la banda hacker Stardust Chollima dal Nord Corea

CrowdStrike chiama la banda di hacker nordcoreana “Stardust Chollima” – ma che altri ricercatori etichetterebbero come Lazarus Group – con ogni probabilità ha inviato le esche tramite e-mail, ha detto a The Daily Beast Adam Meyers, vice presidente dell’intelligence di CrowdStrike. Questa campagna sembra imitare le precedenti missioni di hacking nordcoreane che utilizzavano e-mail e social media per tentare di distribuire malware ai ricercatori di sicurezza, afferma Meyers.

La tattica potrebbe ampliare la roadmap del team di hacker di Kim Jong Un per superare in astuzia altri hacker in tutto il mondo.

Per la Corea del Nord, che gestisce operazioni di hacking volte a raccogliere entrate per finanziare il regime, incluso il suo programma di armi nucleari, il nuovo know-how di hacking potrebbe fare la differenza.

E queste operazioni, ha detto Meyers a The Daily Beast, probabilmente consentono ai nordcoreani di rubare exploit o apprendere nuove abilità di hacking che altrimenti non avrebbero.

“Per la ricerca sulla vulnerabilità in particolare sarebbe interessante: in effetti ti permette di raccogliere e rubare armi che puoi usare per altre operazioni. Potrebbe anche fornire loro informazioni su nuove tecniche di cui non sono a conoscenza e su come viene condotta la ricerca”, ha affermato Meyers. “Ti consente anche di sapere come appare la posizione di sicurezza in altri paesi”.

Leggi anche: Cina e spionaggio: la criminalità non sarà più la norma, gli hacker saranno statali

Attacco ransomware a Quanta: rubati segreti industriali di Apple

L’attacco ransomware ai segreti industriali di Apple Inc. è accaduto martedì, mentre si stavano rivelando l’ultima linea di iPad e i nuovi iMac: il gruppo ransomware REvil, noto anche come Sodinokibi, ha pubblicato un blog sul suo sito darkweb in cui affermava di essersi infiltrato nella rete di computer di Quanta Computer Inc.

La società Quanta Computer, con sede a Taiwan è un fornitore chiave di Apple, e produce principalmente Macbook ma anche prodotti per aziende come HP Inc., Facebook Inc. e Google di Alphabet Inc.

La notizia dell’attacco a Quanta è stata così commentata da Justin Fier, Director for Cyber Intelligence and Analysis di Darktrace:

“Con la notizia appena diffusa dell’attacco a Quanta, possiamo ormai essere certi che le supply chain digitali rappresentino un vero e proprio paradiso per gli hacker. Oggi, i dati critici di un’azienda sono fluidi, spesso gestiti al di fuori dell’organizzazione stessa. Questa incredibile complessità offre a chi ha intenti criminali molti punti di vulnerabilità da poter sfruttare.

Apple: progetti inediti rubati durante un attacco hacker – Fonte: BitMat.it

Attacco ransomware ad Apple: il riscatto è pari a 50 milioni di dollari

Il gruppo di cybercriminali REvil, che è penetrato nei server di Quanta Computer, ha chiesto un riscatto di 50 milioni di dollari, altrimenti i segreti industriali dell’azienda di Cupertino diventeranno pubblici. Come altre gang di ransomware, REvil in genere blocca i dati oi sistemi informatici delle sue vittime fino a quando non viene ripagato. In questo caso, il gruppo ha detto che Quanta si era rifiutata di collaborare con le sue richieste e ora stava chiedendo ad Apple di pagare un riscatto entro il 1 ° maggio in cambio di non divulgare le proprie informazioni sensibili.

I dati che sono in possesso di Quanta sarebbero solo legati alla semplice produzione e all’assemblaggio: come gli schemi per sagomare l’alluminio o per i collegamenti. Niente di segretissimo dunque, anche se entrano in gioco anche prodotti che ancora non sono stati rilasciati.

Secondo il rapporto Cyber ​​Threatscape Report 2020 di Accenture gli hacker di stato e i gruppi criminali ransomware stanno raffinando le loro tattiche per infliggere ancora più danni. Il ransomware è diventato sempre più popolare tra i malintenzionati, poiché il furto di dati aumenta la pressione sulle vittime.

Gli Hacker di Stato e gruppi ransomware raffinano le tattiche per infliggere più danni nel 2021

Cyber Spionaggio industriale: APT hackers utilizzano la vulnerabilità del software Autodesk 3DMax

Scoperta un’operazione di cyber spionaggio industriale: il gruppo in stile APT utilizza una vulnerabilità del software di computer grafica 3D di Autodesk (Autodesk 3ds Max) per compromettere il bersaglio.

Secondo l’analisi di BitDefender la complessità dell’attacco rivela che il gruppo hacker ha una conoscenza preliminare dei sistemi di sicurezza dell’azienda e delle applicazioni software utilizzate: il che significa che l’attacco è stato attentamente pianificato per infiltrarsi nell’azienda ed estrarre i dati senza essere rilevati.

Cyber spionaggio

L’attacco di cyber-spionaggio in stile APT , sempre secondo BitDefender sarebbe partito da un’infrastruttura – server di comando e controllo malware – con sede in Corea del Sud.

Gli attacchi analizzati hanno scoperto uno degli obiettivi: una società di produzione video e architettonica internazionale, attualmente impegnata in progetti architettonici con sviluppatori immobiliari di lusso da miliardi di dollari in quattro continenti: New York, Londra, Australia e Oman.

Il ricorso a gruppi APT mercenari potrebbe essere stato utilizzato per ottenere un vantaggio negoziale.

L’analisi di un attacco cyber per Spionaggio industriale

Secondo il WhitePaper l’analisi forense delle minacce è iniziata da un campione sospetto denominato PhysXPluginStl.mse (hash:
d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa) che ha attivato i sospetti.

Da parte sua Autodesk aveva pubblicato un avviso ad Agosto:

“Autodesk consiglia agli utenti di 3ds Max di scaricare l’ultima versione degli strumenti di sicurezza per Autodesk 3ds Max 2021-2015SP1 disponibile nell’Autodesk App Store per identificare e rimuovere il malware PhysXPluginMfx MAXScript”

Bitedefender WhitePaper

Il payload dannoso pretendeva di essere un plug-in per Autodesk 3ds Max. In realtà, il plug-in è una variante di un exploit MAXScript di Autodesk 3ds Max, denominato “PhysXPluginMfx”.

In questa specifica campagna di spionaggio, gli aggressori hanno utilizzato l’exploit MAXScript PhysXPluginStl per scaricare ed eseguire un file DLL incorporato. Questo file funge da caricatore per due file binari .net. Questi file quindi scaricano altri MAXScript dannosi, che raccolgono informazioni variabili sulla vittima (comprese le password del browser Web per Google Chrome e Firefox, informazioni sulla macchina e schermate), le crittografano con un algoritmo personalizzato e mascherano il risultato in modo che sembri essere contenuto base64.

Fonte: BitDefender

Leggi il report per vedere l’analisi: More Evidence of APT Hackers-for-Hire Used for Industrial Espionage

Note

Situazione in Italia: l’attività di cyber spionaggio, per rubare sia segreti commerciali che dati personali, secondo il rapporto Clusit, pur restando sostanzialmente stabile, in Italia rappresenta la causa del 12% degli attacchi gravi nel 2019, pur rimandeno classificabili con una gravità più alta della media.

Cyber Spionaggio: la nuova frontiera delle sicurezza

Cyber Spionaggio: gli hacker russi usano le operazioni web dell’intelligence iraniana come “cavallo di Troia” per nascondere le loro tracce. 

La notizia è stata rivelata dalle agenzie di intelligence britanniche e statunitensi: le operazioni del gruppo iraniano, sotto il nome di “OilRig” , sono state compromesse da un gruppo russo per colpire a loro volta altre vittime. Il “doppio scambio” è sotto studio dal 2017, da parte della National Cyber Security Center (NCSC), dopo un attacco ad un’istituzione accademica britannica. Il Security Center, in un’indagine durata molti mesi, aveva scoperto che l’attacco alla famosa istituzione era stato compiuto dal gruppo russo Turla, che stava esaminando le capacità e gli strumenti utilizzati dalla compagnia petrolifera iranaina OilRig.

Così il gruppo russo usava gli strumenti iraniani per raccogliere segreti, dati e compromettere ulteriori sistemi compresi quelli dei governi: sono stati scoperti attacchi contro almeno 35 paesi con la maggior parte delle vittime concentrate in Medio Oriente. 

Cyber Spie: attacchi sempre più sofisticati

Paul Chichester, direttore della NCSC, afferma di non aver visto in precedenza un attacco così sofisticato ma anche il deliberato tentativo di incastrare qualcun altro: le vittime avrebbero potuto presumere di essere state attaccate dal gruppo iraniano ed invece il colpevole aveva base in Russia.

Per di più, il fatto che il colpevole sia basato in Russia non significa che lo stato russo (o quello iraniano) sia colpevole, anche se Turla è stato già collegato in precedenza al servizio di sicurezza russo, FSB e OilRig.

Ma si può identificare il vero colpevole? Chichester risponde si, lo possono indentificare, “le nostre capacità” afferma “sono in grado di smascherarli anche quando nascondono la propria identità dietro una maschera”.

Cyber spionaggio: ci vuole trasparenza

“L’era digitale sta già portando sfide nuove e senza precedenti mentre cerchiamo di garantire che tutti possano vivere e fare affari in sicurezza online” afferma Jeremy Fleming direttore della British Government Communications Headquarters (GCHQ). Queste garanzie di sicurezza sono state perseguite dalla GCHQ nel suo programma di accelerazione della Cyber Security, per prevenire attacchi e violazioni di dati.

Oggi le minacce alla sicurezza si sono ampliate in termini di portata e gravità: ci sono milioni di dollari a rischio quando la sicurezza informatica non viene gestita in modo corretto. 

Le “agenzie segrete” non solo “devono mettere al corrente il pubblico sui pericoli che devono essere affrontati ma su come combatterli” continua Fleming. Questo significa trasparenza. 

Campagne di Cyber Spionaggio: il caso del Venezuela

Nell’Agosto 2019 anche il Venezuela è stato sotto attacco hacker: le cyber spie, con obiettivi di alto profilo, nell’operazione chiamata “Machete”, puntavano ai file con le rotte di navigazione e il posizionamento delle unità militari.

La società Eset, specializzata in IT Security, ha affermato che la maggior parte degli attacchi (75%) ha avuto luogo in Venezuela, mentre il 16% si è focalizzato in Ecuador. Eset ha osservato più di 50 computer compromessi che comunicavano con server C&c appartenenti a cyber spie. I criminali hanno utilizzato efficaci tecniche di spear pishing e i loro attacchi si sono affinati sempre di più e nel corso degli anni.

“Conoscono gli obiettivi, come infiltrarsi in comunicazioni regolari e quali documenti sono più preziosi da rubare”, afferma in una nota Matias Porolli, ricercatore di Eset. “Gli aggressori estrapolano file specifici utilizzati dal software Gis (Geographic Information Systems) e sono particolarmente interessati ai file che descrivono le rotte di navigazione e il posizionamento, utilizzando le griglie militari”.

Continua a leggere su CorriereComunicazioni.it

OnLife, Sterling racconta gli hacker più pericolosi al mondo: “Cinesi, nordcoreani, russi, militari”