Skip to main content

Tag: hacker iran

Report Proofpoint: con la campagna phishing BadBlood, hacker iraniani prendono di mira ricercatori israeliani e USA

BadBlood, è questo il nome che i ricercatori di sicurezza hanno dato alla campagna phishing che ha preso di mira – alla fine del 2020 – professionisti e ricercatori nel campo della genetica, della neurologia e onlcologia. I ricercatori attaccati hanno sede in Israele e Stati Uniti.

Secondo il report Proofpoint, negli attacchi informatici del 2020, TA453, è stato un gruppo hacker iraniano, ad aver lanciato una campagna di phishing che ha preso di mira le credenziali dei professionisti medici negli Stati Uniti e in Israele. Il gruppo TA453 – che è noto anche come CHARMING KITTEN e PHOSPHORUS – storicamente allineato con lil Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) – nel tempo ha preso di mira dissidenti, accademici, diplomatici e giornalisti.

Nell’utlima campagna, soprannominata BadBlood – a causa anche delle continue tensioni geopolitiche tra Iran e Israele – la loro attività sembra una deviazione dalle normali attività e di targenting: si pensa quindi che l’obiettivo infatti possa essere il risultato di uno specifico requisito di raccolta di informazioni a breve termine.

BadBlood sottolina la tendenza crescente dei cyber criminali di attaccare il settore della ricerca medica.

L’analisi della campagna phishing BadBlood di Proofpoint

I presunti legami con hacker iraniani sono citati da ProofPoint secondo rapporti esterni che collegano il gruppo “Phosphorus” al governo iraniano e al suo Corpo delle Guardie rivoluzionarie islamiche (IRGC): le tattiche del 2020 sono infatti coerenti con quelle precedentemente utilizzate dal gruppo. Al momento però Proofpoint non può determinare in modo conclusivo la motivazione degli attori che conducono queste campagne. Potrebbe essere un cambio di trageting e uno specifico interesse verso i dati dei pazienti.

Proofpoint ha quindi concluso che una campagna informatica mirata a individui israeliani sarebbe anche “coerente” con le tensioni geopolitiche tra Israele e Iran, che si sono intensificate nel corso del 2020.

Ricercatori israeliani e americani presi di mira da un gruppo di hacker che sarebbe vicino all’Iran

Campagna di phishing delle credenziali

Per la campagna TA453 ha utilizzato un account Gmail – zajfman.daniel[@]gmail.com – controllato da un hacker che si fingeva un importante fisico israeliano. L’account ha inviato messaggi con il soggetto: “Armi nucleari a colpo d’occhio: Israele”, e conteneva esche di ingegneria sociale relative alle capacità nucleari israeliane. Le eMail contenevano un collegamento al dominio controllato da TA453, che falsifica il servizio OneDrive di Microsoft insieme a un’immagine di un logo di un documento PDF intitolato CBP-9075.pdf. Quando si tenta il download del PDF una pagina di accesso Microsoft falsificata tenta di raccogliere le credenziali utente. Inoltre la campagna redirige alla pagina “Iscriviti” di Microsoft Outlook all’indirizzo hxxps://signup.live. Una volta immesso un messaggio di posta elettronica dall’utente e fatto clic su “Avanti”, la pagina richiede una password….

Leggi anche: L’evoluzione degli attacchi DDoS: TDoS – Telephony Denial of Service

Cyber Spionaggio: la nuova frontiera delle sicurezza

Cyber Spionaggio: gli hacker russi usano le operazioni web dell’intelligence iraniana come “cavallo di Troia” per nascondere le loro tracce. 

La notizia è stata rivelata dalle agenzie di intelligence britanniche e statunitensi: le operazioni del gruppo iraniano, sotto il nome di “OilRig” , sono state compromesse da un gruppo russo per colpire a loro volta altre vittime. Il “doppio scambio” è sotto studio dal 2017, da parte della National Cyber Security Center (NCSC), dopo un attacco ad un’istituzione accademica britannica. Il Security Center, in un’indagine durata molti mesi, aveva scoperto che l’attacco alla famosa istituzione era stato compiuto dal gruppo russo Turla, che stava esaminando le capacità e gli strumenti utilizzati dalla compagnia petrolifera iranaina OilRig.

Così il gruppo russo usava gli strumenti iraniani per raccogliere segreti, dati e compromettere ulteriori sistemi compresi quelli dei governi: sono stati scoperti attacchi contro almeno 35 paesi con la maggior parte delle vittime concentrate in Medio Oriente. 

Cyber Spie: attacchi sempre più sofisticati

Paul Chichester, direttore della NCSC, afferma di non aver visto in precedenza un attacco così sofisticato ma anche il deliberato tentativo di incastrare qualcun altro: le vittime avrebbero potuto presumere di essere state attaccate dal gruppo iraniano ed invece il colpevole aveva base in Russia.

Per di più, il fatto che il colpevole sia basato in Russia non significa che lo stato russo (o quello iraniano) sia colpevole, anche se Turla è stato già collegato in precedenza al servizio di sicurezza russo, FSB e OilRig.

Ma si può identificare il vero colpevole? Chichester risponde si, lo possono indentificare, “le nostre capacità” afferma “sono in grado di smascherarli anche quando nascondono la propria identità dietro una maschera”.

Cyber spionaggio: ci vuole trasparenza

“L’era digitale sta già portando sfide nuove e senza precedenti mentre cerchiamo di garantire che tutti possano vivere e fare affari in sicurezza online” afferma Jeremy Fleming direttore della British Government Communications Headquarters (GCHQ). Queste garanzie di sicurezza sono state perseguite dalla GCHQ nel suo programma di accelerazione della Cyber Security, per prevenire attacchi e violazioni di dati.

Oggi le minacce alla sicurezza si sono ampliate in termini di portata e gravità: ci sono milioni di dollari a rischio quando la sicurezza informatica non viene gestita in modo corretto. 

Le “agenzie segrete” non solo “devono mettere al corrente il pubblico sui pericoli che devono essere affrontati ma su come combatterli” continua Fleming. Questo significa trasparenza. 

Campagne di Cyber Spionaggio: il caso del Venezuela

Nell’Agosto 2019 anche il Venezuela è stato sotto attacco hacker: le cyber spie, con obiettivi di alto profilo, nell’operazione chiamata “Machete”, puntavano ai file con le rotte di navigazione e il posizionamento delle unità militari.

La società Eset, specializzata in IT Security, ha affermato che la maggior parte degli attacchi (75%) ha avuto luogo in Venezuela, mentre il 16% si è focalizzato in Ecuador. Eset ha osservato più di 50 computer compromessi che comunicavano con server C&c appartenenti a cyber spie. I criminali hanno utilizzato efficaci tecniche di spear pishing e i loro attacchi si sono affinati sempre di più e nel corso degli anni.

“Conoscono gli obiettivi, come infiltrarsi in comunicazioni regolari e quali documenti sono più preziosi da rubare”, afferma in una nota Matias Porolli, ricercatore di Eset. “Gli aggressori estrapolano file specifici utilizzati dal software Gis (Geographic Information Systems) e sono particolarmente interessati ai file che descrivono le rotte di navigazione e il posizionamento, utilizzando le griglie militari”.

Continua a leggere su CorriereComunicazioni.it

OnLife, Sterling racconta gli hacker più pericolosi al mondo: “Cinesi, nordcoreani, russi, militari”