Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Lug 08, 2016 Marco Schiaffino Approfondimenti, Apt, Campagne malware, Malware, Minacce, Minacce, Trojan 0
Se per cimentarsi nel cyber-crimine non serve essere dei fenomeni della programmazione, a quanto pare non è richiesto avere grandi capacità nemmeno per eccellere nello spionaggio.
È questa la lezione che si impara dal report di Cymmetria, che ha analizzato nei dettagli modalità e tecniche utilizzate da un gruppo di cyber-spioni impegnati in quella che i ricercatori hanno battezzato col nome di “Operazione Patchwork”.
La rete di spionaggio ha presso di mira principalmente i computer di enti governativi e organizzazioni legate al settore militare attivi nel sud-est asiatico e nel mar cinese meridionale. Per ottenere il risultato, gli ignoti pirati informatici hanno utilizzato una serie di strumenti reperiti online, sia su Github, sia su forum dedicati all’hacking.
La ricostruzione del modus operandi del gruppo Patchwork fatta da Cymmetria parte con un attacco di spear phishing, che ha preso di mira nel maggio 2106 un funzionario cinese.
Il veicolo di infezione scelto dagli spioni è stata una presentazione PowerPoint che sfruttava una vulnerabilità (CVE-2014-4114) ben conosciuta dei programmi Office, efficace sulle versioni non aggiornate delle edizioni 2003 e 2007 della suite per l’ufficio di Microsoft.
È a questo punto che gli analisti di Cymmetria hanno fatto la loro mossa, “ingabbiando” l’attacco in un ambiente controllato al cui interno hanno potuto registrare e analizzare tutte le mosse dei pirati: dal traffico di rete alle modifiche del sistema effettuate per muoversi al suo interno.
Una volta avuto accesso tramite l’exploit, il malware ha aggirato il sistema UAC (User Account Control) di Windows utilizzando un metodo chiamato UACME. Il codice per farlo, secondo quanto ricostruito dagli analisti, è stato copiato da un forum online.
I pirati hanno poi usato gli strumenti di PowerSploit, una collezione di strumenti shell disponibile sul Web, per scaricare e installare Meterpreter, un trojan disponibile nel pacchetto Metasploit.
Il trojan ha individuato i documenti sul computer e ne ha trasferito una copia al server Command and Control controllato dai pirati. Avuta la conferma che il bersaglio era “interessante”, hanno poi proceduto con l’installazione di un secondo (e più complesso) malware, a sua volta ottenuto assemblando diversi moduli facilmente reperibili sul Web.
A questo punto, gli intrusi hanno cominciato a esplorare la rete (in realtà composta da una serie di esche disposte ad hoc dai ricercatori) per cercare di ottenere l’accesso ad altri dispositivi. L’attività, però, a quel punto si è interrotta.
Gli analisti di Cymmetria hanno potuto però risalire e accedere al server C&C, ottenendo i log di sistema e i documenti caricati su di esso.
Tra questi hanno trovato i file PowerPoint utilizzati per diffondere il malware e numerose informazioni che gli hanno permesso di ricostruire l’attività del gruppo in maniera piuttosto dettagliata.
Nonostante il rapporto non tragga conclusioni certe sulla paternità degli attacchi, l’ipotesi più credibile è quella di un gruppo vicino al governo indiano, che avrebbe tutto l’interesse a creare una rete di spionaggio come quella di Patchwork per controllare i suoi “vicini”.
A confermare l’ipotesi è anche l’analisi degli orari in cui i pirati sembravano essere attivi, che indicherebbe una presenza in “orario d’ufficio” nell’area del subcontinente indiano.
Gen 18, 2019 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 06, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...