Skip to main content

Tag: spionaggio industriale

Cyber Spionaggio industriale: APT hackers utilizzano la vulnerabilità del software Autodesk 3DMax

Scoperta un’operazione di cyber spionaggio industriale: il gruppo in stile APT utilizza una vulnerabilità del software di computer grafica 3D di Autodesk (Autodesk 3ds Max) per compromettere il bersaglio.

Secondo l’analisi di BitDefender la complessità dell’attacco rivela che il gruppo hacker ha una conoscenza preliminare dei sistemi di sicurezza dell’azienda e delle applicazioni software utilizzate: il che significa che l’attacco è stato attentamente pianificato per infiltrarsi nell’azienda ed estrarre i dati senza essere rilevati.

Cyber spionaggio

L’attacco di cyber-spionaggio in stile APT , sempre secondo BitDefender sarebbe partito da un’infrastruttura – server di comando e controllo malware – con sede in Corea del Sud.

Gli attacchi analizzati hanno scoperto uno degli obiettivi: una società di produzione video e architettonica internazionale, attualmente impegnata in progetti architettonici con sviluppatori immobiliari di lusso da miliardi di dollari in quattro continenti: New York, Londra, Australia e Oman.

Il ricorso a gruppi APT mercenari potrebbe essere stato utilizzato per ottenere un vantaggio negoziale.

L’analisi di un attacco cyber per Spionaggio industriale

Secondo il WhitePaper l’analisi forense delle minacce è iniziata da un campione sospetto denominato PhysXPluginStl.mse (hash:
d6ad1e0b11a620ed4df39255ffff11a483687d7038d6c76b938d15add54345fa) che ha attivato i sospetti.

Da parte sua Autodesk aveva pubblicato un avviso ad Agosto:

“Autodesk consiglia agli utenti di 3ds Max di scaricare l’ultima versione degli strumenti di sicurezza per Autodesk 3ds Max 2021-2015SP1 disponibile nell’Autodesk App Store per identificare e rimuovere il malware PhysXPluginMfx MAXScript”

Bitedefender WhitePaper

Il payload dannoso pretendeva di essere un plug-in per Autodesk 3ds Max. In realtà, il plug-in è una variante di un exploit MAXScript di Autodesk 3ds Max, denominato “PhysXPluginMfx”.

In questa specifica campagna di spionaggio, gli aggressori hanno utilizzato l’exploit MAXScript PhysXPluginStl per scaricare ed eseguire un file DLL incorporato. Questo file funge da caricatore per due file binari .net. Questi file quindi scaricano altri MAXScript dannosi, che raccolgono informazioni variabili sulla vittima (comprese le password del browser Web per Google Chrome e Firefox, informazioni sulla macchina e schermate), le crittografano con un algoritmo personalizzato e mascherano il risultato in modo che sembri essere contenuto base64.

Fonte: BitDefender

Leggi il report per vedere l’analisi: More Evidence of APT Hackers-for-Hire Used for Industrial Espionage

Note

Situazione in Italia: l’attività di cyber spionaggio, per rubare sia segreti commerciali che dati personali, secondo il rapporto Clusit, pur restando sostanzialmente stabile, in Italia rappresenta la causa del 12% degli attacchi gravi nel 2019, pur rimandeno classificabili con una gravità più alta della media.

Spionaggio industriale: i gruppi hacker organizzati del cybercrime

Spionaggio industriale: mentre anche le imprese italiane cadono vittime dei crimini informatici e del cybercrime i ricercatori di sicurezza scoprono nuovi gruppi hacker organizzati che prendono di mira le aziende di tutto il mondo.

La società di sicurezza Group-IB ha pubblicato un rapporto di 57 pagine speigando in dettaglio le attività del gruppo hacker russo RedCurl: la sua attività si sarebbe concentrata – negli ultimi tre anni – proprio nello spionaggio industriale per rubare sia segreti commerciali che dati personali.

La spia va a caccia per conto d’altri, come il cane; l’invidioso va a caccia per conto proprio, come il gatto. Victor Hugo.

Spionaggio industriale: il gruppo RedCurl di lingua russa scoperto da Group-IB

Il nuovo gruppo hacker di lingua russa chiamato RedCurl, scoperto dai ricercatori di sicurezza informatica Group-IB, è sotto studio e analsi dall’estate del 2019 dopo l’ennesima violazione ai sistemi.

Si contano circa 26 attacchi informatici identificati, indirizzati a circa 14 organizzazioni che risalgono anche a molto tempo prima, al 2018. Tra le vittime si contano numerosi settori industriali tra società di costruzione, agenzie di assicurazione, banche e società di consulenza. Tra i paesi oggetto di attacco ci sono la Russia, l’Ucraina, il Canada, la Germania, la Norvegia e il Regno Unito.

Tra le tipologie di attacco emerge il spear-phishing per guadagnare l’accesso iniziale: le e-mail – come riporta CyberScoop – venivano inviate a più dipendenti contemporaneamente “il che ha reso i dipendenti meno vigili, soprattutto considerando che molti di loro lavoravano nello stesso reparto”. Le e-mail includevano link a file malware-laced che le vittime hanno dovuto scaricare e una volta scaricati ed eseguito il contenuto i sistemi sono stati infettati con dei trojan basati su PowerShell. Tra le violazioni documenti aziendali, contati, documenti finanziari, registri legali.

Studiando le loro tecniche i ricercatori di Gropu-IB hanno scoperto che gli attacchi erano simili ad altri gruppi hacker già noti come RedOctober e CloudAtlas già analizzati da Kaspersky. Group-IB ipotizza che il gruppo possa essere quindi una continuazione di tali attacchi precedenti.

Ecco alcuni riferimenti su CloudAtlas

KasperskyCloud Atlas APT upgrades its arsenal with polymorphic malware

RedOctober – Kaspersky Lab Identifies Operation “Red October,” an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide

Leggi anche: