Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
La rete di spionaggio ProjectSauron
Le comunicazioni con l’esterno
La trasmissione dei dati sottratti avviene utilizzando tecniche che gli esperti di Kaspersky definiscono, ancora una volta, “decisamente insolite”.
Le tecniche utilizzate son due: l’email e una tecnica di tunneling dei DNS. L’utilizzo della posta elettronica avviene tramite l’invio di email che sono confezionate in modo da apparire inviate da un client di posta (Thunderbird 2.0.0.9) e contengono un breve messaggio di testo e un oggetto assolutamente anonimo.
I dati rubati vengono invece inseriti sotto forma di un Data.bin codificato in Base64. Qualcosa, insomma, che può passare tranquillamente per un pacchetto di dati di una qualsiasi applicazione e che mai e poi mai farà squillare una campanella d’allarme in un software di protezione.
Testo anonimo e dati incomprensibili. L’email ha ottime possibilità di passare inosservata.
L’esfiltrazione dei dati tramite DNS viene invece attuata in modalità di banda ridotta, per non dare troppo nell’occhio. Tutto il processo di trasmissione dei dati, però, viene monitorato e il progresso della trasmissione viene controllato in tempo reale comunicandone i dettagli a un server esterno.
Ancora una volta, le caratteristiche di ProjectSauron fanno pensare quindi all’opera di un gruppo estremamente organizzato che agisce avendo come obiettivo primario quello di passare inosservato. Non è un caso che la rete di spionaggio sia rimasta attiva per 5 anni senza che nessuno si accorgesse di nulla.
Ma chi tira le fila di questo gruppo? Gli analisti Kaspersky non si sbilanciano e si limitano a dire che con tutta probabilità l’operazione è sponsorizzata da un’organizzazione governativa.
L’analisi del codice degli impianti, d’altra parte, sembra non offrire grossi spunti per poter speculare sull’origine di questa attività. Tutto il testo “umano” è infatti in lingua inglese e gli unici termini rintracciabili scritti in una lingua “non anglosassone” sono… in italiano!
Uno dei file di configurazione, infatti, contiene un elenco di parole chiavi che l’impianto dovrebbe ricercare sul sistema. Tra queste ci sono alcuni termini in lingua italiana, come “codice” e ”segreto”.
La presenza di questi termini, però, non aiuta a capire l’origine dell’attacco, ma può al massimo far pensare che tra i bersagli ci fossero delle istituzioni del nostro paese o, per lo meno, che hanno a che fare con il nostro paese.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
