Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Ago 01, 2016 Marco Schiaffino Attacchi, Gestione dati, Hacking, News, Privacy, RSS 0
Il primo atto è stato il furto di 19.252 email riconducibili a sette dirigenti del Democratic National Committee (DNC) che sono state poi consegnate a WikiLeaks e pubblicate sul Web. Il secondo colpo ha invece preso di mira il Democratic Congressional Campaign Committee (DCCC), cioè il comitato che si occupa principalmente di raccogliere fondi per la campagna elettorale.
In questo secondo caso, i pirati non si sono limitati a sottrarre informazioni, ma hanno anche utilizzato un falso sito con un indirizzo Web simile a quello ufficiale per dirottare le donazioni online dei sostenitori del Partito Democratico.
Stando a quanto ricostruito da Crowdstrike, la società di sicurezza informatica che ha scoperto l’intrusione, i pirati avrebbero infiltrato i sistemi addirittura nel 2015, avendo così la possibilità di accedere a email, chat e comunicazioni interne del partito per oltre 12 mesi.
La strategia utilizzata coincide con quella adottata in altri attacchi mirati ad aziende e organizzazioni: un primo accesso attraverso un attacco di spear phishing e una prudente e calcolata espansione all’interno della rete informatica attraverso movimenti laterali e la progressiva compromissione dei servizi di comunicazione.
I ricercatori di Crowdstrike attribuiscono l’attacco a due gruppi diversi, entrambi legati ai servizi segreti russi, che avrebbero agito in maniera indipendente e senza un reale coordinamento.
Il rischio maggiore è che i pirati abbiano potuto mettere le mani sui dati personali dei sostenitori del Partito Democratico USA.
Il primo, battezzato Cozy Bear, è una vecchia conoscenza nel settore della sicurezza informatica. In passato il gruppo si è reso protagonista di azioni clamorose, come la violazione dei sistemi della Casa Bianca, del Dipartimento di Stato e dello Stato Maggiore USA.
L’azione di Cozy Bear risalirebbe all’estate del 2015 e avrebbe sfruttato una serie di APT particolarmente complessi. In particolare, i ricercatori di Crowdstrike hanno individuato l’utilizzo di SeaDaddy, un trojan modulare che può essere modificato facilmente per adattarne le caratteristiche e consentire l’infiltrazione in qualsiasi tipo di ambiente.
Oltre a SeaDaddy, i pirati hanno utilizzato una backdoor Powershell installata nei sistemi Windows Management Instrumentation (WMI) che gli ha consentito di programmare il download e l’installazione di ulteriori moduli.
Stando a quanto riportato dagli analisti, il gruppo avrebbe utilizzato numerose tecniche di offuscamento per nascondere la sua presenza nei sistemi del DNC, utilizzando comunicazioni crittografate con i server Command and Control che sfruttavano chiavi diverse per ogni singola macchina compromessa, cambiando spesso anche i server C&C a cui facevano riferimento.
Il secondo gruppo, chiamato Fancy Bear, ha invece colpito i sistemi nell’aprile 2016 utilizzando Xtunnel, un malware realizzato ad hoc per l’attacco nei confronti del DNC. Il trojan ha caratteristiche simili a SeaDaddy, ma implementa alcune funzioni particolari come il keyloggin e la registrazione dei movimenti del mouse sullo schermo.
Curiosamente, Xtunnel non utilizza alcuna tecnica di offuscamento del suo codice. I ricercatori che lo hanno analizzato, inoltre, hanno scoperto che per garantire le comunicazioni verso l’esterno, il malware utilizza un sistema di comunicazione mutuato da un modulo usato da oltre 10 anni per i sistemi VoIP.
Poco si sa, invece, su quali possano essere i reali danni provocati dai pirati. Oltre alle email consegnate a WikiLeaks, gesto pubblicamente rivendicato da un hacker indipendente chiamato Guccifer 2.0 ma più probabilmente attribuibili ai gruppi russi, i cyber-spioni potrebbero aver messo le mani su numerose altre informazioni, tra cui i dati di tutti i sostenitori del Partito Democratico.
Lug 18, 2024 0
Lug 16, 2024 0
Lug 12, 2024 0
Lug 10, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...