Aggiornamenti recenti Ottobre 21st, 2021 4:43 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Gruppo APT usa una vulnerabilità di Microsoft Office vecchia di 20 anni
- Tutti puntano agli exploit delle VPN. Parola di Zerodium
- Attacco ad Accenture: i pirati hanno sottratto dati riservati
- MirrorBlast: il nuovo attacco sfrutta macro “invisibili”
- Lotta ai ransomware: ora si punta a bloccare i sistemi di pagamento
Partito Democratico USA vittima degli hacker. Sotto accusa la Russia.
I democratici americani hanno subito una serie di attacchi proprio in concomitanza con la conclusione delle elezioni primarie per le presidenziali USA. Dietro il furto di email e la violazione dei server ci sarebbero dei gruppi legati ai servizi segreti russi.
Il primo atto è stato il furto di 19.252 email riconducibili a sette dirigenti del Democratic National Committee (DNC) che sono state poi consegnate a WikiLeaks e pubblicate sul Web. Il secondo colpo ha invece preso di mira il Democratic Congressional Campaign Committee (DCCC), cioè il comitato che si occupa principalmente di raccogliere fondi per la campagna elettorale.
In questo secondo caso, i pirati non si sono limitati a sottrarre informazioni, ma hanno anche utilizzato un falso sito con un indirizzo Web simile a quello ufficiale per dirottare le donazioni online dei sostenitori del Partito Democratico.
Stando a quanto ricostruito da Crowdstrike, la società di sicurezza informatica che ha scoperto l’intrusione, i pirati avrebbero infiltrato i sistemi addirittura nel 2015, avendo così la possibilità di accedere a email, chat e comunicazioni interne del partito per oltre 12 mesi.
La strategia utilizzata coincide con quella adottata in altri attacchi mirati ad aziende e organizzazioni: un primo accesso attraverso un attacco di spear phishing e una prudente e calcolata espansione all’interno della rete informatica attraverso movimenti laterali e la progressiva compromissione dei servizi di comunicazione.
I ricercatori di Crowdstrike attribuiscono l’attacco a due gruppi diversi, entrambi legati ai servizi segreti russi, che avrebbero agito in maniera indipendente e senza un reale coordinamento.
Il rischio maggiore è che i pirati abbiano potuto mettere le mani sui dati personali dei sostenitori del Partito Democratico USA.
Il primo, battezzato Cozy Bear, è una vecchia conoscenza nel settore della sicurezza informatica. In passato il gruppo si è reso protagonista di azioni clamorose, come la violazione dei sistemi della Casa Bianca, del Dipartimento di Stato e dello Stato Maggiore USA.
L’azione di Cozy Bear risalirebbe all’estate del 2015 e avrebbe sfruttato una serie di APT particolarmente complessi. In particolare, i ricercatori di Crowdstrike hanno individuato l’utilizzo di SeaDaddy, un trojan modulare che può essere modificato facilmente per adattarne le caratteristiche e consentire l’infiltrazione in qualsiasi tipo di ambiente.
Oltre a SeaDaddy, i pirati hanno utilizzato una backdoor Powershell installata nei sistemi Windows Management Instrumentation (WMI) che gli ha consentito di programmare il download e l’installazione di ulteriori moduli.
Stando a quanto riportato dagli analisti, il gruppo avrebbe utilizzato numerose tecniche di offuscamento per nascondere la sua presenza nei sistemi del DNC, utilizzando comunicazioni crittografate con i server Command and Control che sfruttavano chiavi diverse per ogni singola macchina compromessa, cambiando spesso anche i server C&C a cui facevano riferimento.
Il secondo gruppo, chiamato Fancy Bear, ha invece colpito i sistemi nell’aprile 2016 utilizzando Xtunnel, un malware realizzato ad hoc per l’attacco nei confronti del DNC. Il trojan ha caratteristiche simili a SeaDaddy, ma implementa alcune funzioni particolari come il keyloggin e la registrazione dei movimenti del mouse sullo schermo.
Curiosamente, Xtunnel non utilizza alcuna tecnica di offuscamento del suo codice. I ricercatori che lo hanno analizzato, inoltre, hanno scoperto che per garantire le comunicazioni verso l’esterno, il malware utilizza un sistema di comunicazione mutuato da un modulo usato da oltre 10 anni per i sistemi VoIP.
Poco si sa, invece, su quali possano essere i reali danni provocati dai pirati. Oltre alle email consegnate a WikiLeaks, gesto pubblicamente rivendicato da un hacker indipendente chiamato Guccifer 2.0 ma più probabilmente attribuibili ai gruppi russi, i cyber-spioni potrebbero aver messo le mani su numerose altre informazioni, tra cui i dati di tutti i sostenitori del Partito Democratico.
Condividi l'articolo
La nuova minaccia per Android si chiama SpyNote
Gli Emirati Arabi contro le VPN: carcere e 500.000 dollari di multa
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Viaggi nello spazio e cybersecurity I viaggi nello spazio diventeranno presto la norma, poiché... -
La collaborazione è la chiave del futuro successo, o... Una recente ricerca paneuropea* ha evidenziato che quasi la... -
I chip spia cinesi nei server di Supermicro? Forse ci... Una nuova inchiesta di Bloomberg riprende la vicenda. Il... -
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Gruppo APT usa una vulnerabilità di Microsoft Office... I cyber spioni operano in Afghanistan e India, utilizzando... -
Tutti puntano agli exploit delle VPN. Parola di Zerodium L’azienda specializzata in compravendita di... -
Attacco ad Accenture: i pirati hanno sottratto dati... A più di due mesi dall’attacco, l’azienda ammette che... -
MirrorBlast: il nuovo attacco sfrutta macro I cyber criminali usano file Excel con tecniche di... -
Lotta ai ransomware: ora si punta a bloccare i sistemi di... L’iniziativa coinvolge 30 governi che aderiscono alla...
Gruppo APT usa una vulnerabilità di Microsoft Office vecchia di 20 anni
I cyber spioni operano in Afghanistan e India, utilizzando un... Continua →
Vocabolario della sicurezza
