Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
La rete di spionaggio ProjectSauron
Le comunicazioni con l’esterno
La trasmissione dei dati sottratti avviene utilizzando tecniche che gli esperti di Kaspersky definiscono, ancora una volta, “decisamente insolite”.
Le tecniche utilizzate son due: l’email e una tecnica di tunneling dei DNS. L’utilizzo della posta elettronica avviene tramite l’invio di email che sono confezionate in modo da apparire inviate da un client di posta (Thunderbird 2.0.0.9) e contengono un breve messaggio di testo e un oggetto assolutamente anonimo.
I dati rubati vengono invece inseriti sotto forma di un Data.bin codificato in Base64. Qualcosa, insomma, che può passare tranquillamente per un pacchetto di dati di una qualsiasi applicazione e che mai e poi mai farà squillare una campanella d’allarme in un software di protezione.
Testo anonimo e dati incomprensibili. L’email ha ottime possibilità di passare inosservata.
L’esfiltrazione dei dati tramite DNS viene invece attuata in modalità di banda ridotta, per non dare troppo nell’occhio. Tutto il processo di trasmissione dei dati, però, viene monitorato e il progresso della trasmissione viene controllato in tempo reale comunicandone i dettagli a un server esterno.
Ancora una volta, le caratteristiche di ProjectSauron fanno pensare quindi all’opera di un gruppo estremamente organizzato che agisce avendo come obiettivo primario quello di passare inosservato. Non è un caso che la rete di spionaggio sia rimasta attiva per 5 anni senza che nessuno si accorgesse di nulla.
Ma chi tira le fila di questo gruppo? Gli analisti Kaspersky non si sbilanciano e si limitano a dire che con tutta probabilità l’operazione è sponsorizzata da un’organizzazione governativa.
L’analisi del codice degli impianti, d’altra parte, sembra non offrire grossi spunti per poter speculare sull’origine di questa attività. Tutto il testo “umano” è infatti in lingua inglese e gli unici termini rintracciabili scritti in una lingua “non anglosassone” sono… in italiano!
Uno dei file di configurazione, infatti, contiene un elenco di parole chiavi che l’impianto dovrebbe ricercare sul sistema. Tra queste ci sono alcuni termini in lingua italiana, come “codice” e ”segreto”.
La presenza di questi termini, però, non aiuta a capire l’origine dell’attacco, ma può al massimo far pensare che tra i bersagli ci fossero delle istituzioni del nostro paese o, per lo meno, che hanno a che fare con il nostro paese.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
