Aggiornamenti recenti Settembre 5th, 2025 9:00 AM
Ago 12, 2016 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, Malware 0
La trasmissione dei dati sottratti avviene utilizzando tecniche che gli esperti di Kaspersky definiscono, ancora una volta, “decisamente insolite”.
Le tecniche utilizzate son due: l’email e una tecnica di tunneling dei DNS. L’utilizzo della posta elettronica avviene tramite l’invio di email che sono confezionate in modo da apparire inviate da un client di posta (Thunderbird 2.0.0.9) e contengono un breve messaggio di testo e un oggetto assolutamente anonimo.
I dati rubati vengono invece inseriti sotto forma di un Data.bin codificato in Base64. Qualcosa, insomma, che può passare tranquillamente per un pacchetto di dati di una qualsiasi applicazione e che mai e poi mai farà squillare una campanella d’allarme in un software di protezione.
Testo anonimo e dati incomprensibili. L’email ha ottime possibilità di passare inosservata.
L’esfiltrazione dei dati tramite DNS viene invece attuata in modalità di banda ridotta, per non dare troppo nell’occhio. Tutto il processo di trasmissione dei dati, però, viene monitorato e il progresso della trasmissione viene controllato in tempo reale comunicandone i dettagli a un server esterno.
Ancora una volta, le caratteristiche di ProjectSauron fanno pensare quindi all’opera di un gruppo estremamente organizzato che agisce avendo come obiettivo primario quello di passare inosservato. Non è un caso che la rete di spionaggio sia rimasta attiva per 5 anni senza che nessuno si accorgesse di nulla.
Ma chi tira le fila di questo gruppo? Gli analisti Kaspersky non si sbilanciano e si limitano a dire che con tutta probabilità l’operazione è sponsorizzata da un’organizzazione governativa.
L’analisi del codice degli impianti, d’altra parte, sembra non offrire grossi spunti per poter speculare sull’origine di questa attività. Tutto il testo “umano” è infatti in lingua inglese e gli unici termini rintracciabili scritti in una lingua “non anglosassone” sono… in italiano!
Uno dei file di configurazione, infatti, contiene un elenco di parole chiavi che l’impianto dovrebbe ricercare sul sistema. Tra queste ci sono alcuni termini in lingua italiana, come “codice” e ”segreto”.
La presenza di questi termini, però, non aiuta a capire l’origine dell’attacco, ma può al massimo far pensare che tra i bersagli ci fossero delle istituzioni del nostro paese o, per lo meno, che hanno a che fare con il nostro paese.
Lug 22, 2025 0
Lug 04, 2025 0
Apr 24, 2025 0
Feb 03, 2025 0
Set 05, 2025 0
Set 03, 2025 0
Set 02, 2025 0
Set 01, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 05, 2025 0
Il governo degli Stati Uniti sta offrendo fino a 10...Set 03, 2025 0
Appena rilasciato e già preso di mira dagli attaccanti:...Set 02, 2025 0
Lo scorso 20 agosto Salesloft aveva avvertito di un...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...