Aggiornamenti recenti febbraio 15th, 2019 2:46 PM
Ago 01, 2016 Marco Schiaffino Attacchi, Gestione dati, Hacking, News, Privacy, RSS 0
Il primo atto è stato il furto di 19.252 email riconducibili a sette dirigenti del Democratic National Committee (DNC) che sono state poi consegnate a WikiLeaks e pubblicate sul Web. Il secondo colpo ha invece preso di mira il Democratic Congressional Campaign Committee (DCCC), cioè il comitato che si occupa principalmente di raccogliere fondi per la campagna elettorale.
In questo secondo caso, i pirati non si sono limitati a sottrarre informazioni, ma hanno anche utilizzato un falso sito con un indirizzo Web simile a quello ufficiale per dirottare le donazioni online dei sostenitori del Partito Democratico.
Stando a quanto ricostruito da Crowdstrike, la società di sicurezza informatica che ha scoperto l’intrusione, i pirati avrebbero infiltrato i sistemi addirittura nel 2015, avendo così la possibilità di accedere a email, chat e comunicazioni interne del partito per oltre 12 mesi.
La strategia utilizzata coincide con quella adottata in altri attacchi mirati ad aziende e organizzazioni: un primo accesso attraverso un attacco di spear phishing e una prudente e calcolata espansione all’interno della rete informatica attraverso movimenti laterali e la progressiva compromissione dei servizi di comunicazione.
I ricercatori di Crowdstrike attribuiscono l’attacco a due gruppi diversi, entrambi legati ai servizi segreti russi, che avrebbero agito in maniera indipendente e senza un reale coordinamento.
Il rischio maggiore è che i pirati abbiano potuto mettere le mani sui dati personali dei sostenitori del Partito Democratico USA.
Il primo, battezzato Cozy Bear, è una vecchia conoscenza nel settore della sicurezza informatica. In passato il gruppo si è reso protagonista di azioni clamorose, come la violazione dei sistemi della Casa Bianca, del Dipartimento di Stato e dello Stato Maggiore USA.
L’azione di Cozy Bear risalirebbe all’estate del 2015 e avrebbe sfruttato una serie di APT particolarmente complessi. In particolare, i ricercatori di Crowdstrike hanno individuato l’utilizzo di SeaDaddy, un trojan modulare che può essere modificato facilmente per adattarne le caratteristiche e consentire l’infiltrazione in qualsiasi tipo di ambiente.
Oltre a SeaDaddy, i pirati hanno utilizzato una backdoor Powershell installata nei sistemi Windows Management Instrumentation (WMI) che gli ha consentito di programmare il download e l’installazione di ulteriori moduli.
Stando a quanto riportato dagli analisti, il gruppo avrebbe utilizzato numerose tecniche di offuscamento per nascondere la sua presenza nei sistemi del DNC, utilizzando comunicazioni crittografate con i server Command and Control che sfruttavano chiavi diverse per ogni singola macchina compromessa, cambiando spesso anche i server C&C a cui facevano riferimento.
Il secondo gruppo, chiamato Fancy Bear, ha invece colpito i sistemi nell’aprile 2016 utilizzando Xtunnel, un malware realizzato ad hoc per l’attacco nei confronti del DNC. Il trojan ha caratteristiche simili a SeaDaddy, ma implementa alcune funzioni particolari come il keyloggin e la registrazione dei movimenti del mouse sullo schermo.
Curiosamente, Xtunnel non utilizza alcuna tecnica di offuscamento del suo codice. I ricercatori che lo hanno analizzato, inoltre, hanno scoperto che per garantire le comunicazioni verso l’esterno, il malware utilizza un sistema di comunicazione mutuato da un modulo usato da oltre 10 anni per i sistemi VoIP.
Poco si sa, invece, su quali possano essere i reali danni provocati dai pirati. Oltre alle email consegnate a WikiLeaks, gesto pubblicamente rivendicato da un hacker indipendente chiamato Guccifer 2.0 ma più probabilmente attribuibili ai gruppi russi, i cyber-spioni potrebbero aver messo le mani su numerose altre informazioni, tra cui i dati di tutti i sostenitori del Partito Democratico.
Feb 13, 2019 0
Gen 29, 2019 0
Dic 13, 2018 0
Dic 12, 2018 0
Feb 15, 2019 0
Feb 14, 2019 0
Feb 12, 2019 0
Feb 11, 2019 0
Gen 18, 2019 0
Gli ultimi fatti che vedono continui screzi tra Stati Uniti...Dic 03, 2018 0
Syneto usa la convergenza per offrire strumenti di backup e...Nov 23, 2018 0
Di fronte alle tensioni internazionali in tema di...Ott 17, 2018 0
La maggiore flessibilità si trasforma spesso in scarso...Ott 05, 2018 0
Il Cyber Defence Summit di FireEye è stata un’ottima...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 3
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 6
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Feb 15, 2019 0
Il database contiene informazioni di milioni di cittadini...Feb 14, 2019 0
Dirty Sock permette di ottenere privilegi di root sui...Feb 13, 2019 0
La proposta di legge è stata approvata dalla Duma e...Feb 12, 2019 0
Basta caricare un container infetto per poter prendere il...Feb 11, 2019 0
Un aggiornamento alla legislazione consente alle autorità...Il superamento di username e password è una necessità. Ma...
Le tecniche di attacco sono in continua crescita ed evoluzione....
Uno studio del Ponemon Institute, condotto intervistando 569 IT manager...
Gli accessori connessi a Internet sono la nuova frontiera delle...
Instagram è uno dei social network più conosciuti su internet....