Aggiornamenti recenti Maggio 22nd, 2026 12:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: gli agenti IA cambiano la fiducia aziendale
- HackerOne taglia drasticamente le ricompense dei bug bounty
- Attacco ai router Huawei dietro blackout telecom del Lussemburgo
- MSHTA, lo “zombie” di IE che alimenta attacchi su Windows
- NGINX Rift, rischio RCE per una falla rimasta nascosta 18 anni
La rete di spionaggio ProjectSauron
Le comunicazioni con l’esterno
La trasmissione dei dati sottratti avviene utilizzando tecniche che gli esperti di Kaspersky definiscono, ancora una volta, “decisamente insolite”.
Le tecniche utilizzate son due: l’email e una tecnica di tunneling dei DNS. L’utilizzo della posta elettronica avviene tramite l’invio di email che sono confezionate in modo da apparire inviate da un client di posta (Thunderbird 2.0.0.9) e contengono un breve messaggio di testo e un oggetto assolutamente anonimo.
I dati rubati vengono invece inseriti sotto forma di un Data.bin codificato in Base64. Qualcosa, insomma, che può passare tranquillamente per un pacchetto di dati di una qualsiasi applicazione e che mai e poi mai farà squillare una campanella d’allarme in un software di protezione.
Testo anonimo e dati incomprensibili. L’email ha ottime possibilità di passare inosservata.
L’esfiltrazione dei dati tramite DNS viene invece attuata in modalità di banda ridotta, per non dare troppo nell’occhio. Tutto il processo di trasmissione dei dati, però, viene monitorato e il progresso della trasmissione viene controllato in tempo reale comunicandone i dettagli a un server esterno.
Ancora una volta, le caratteristiche di ProjectSauron fanno pensare quindi all’opera di un gruppo estremamente organizzato che agisce avendo come obiettivo primario quello di passare inosservato. Non è un caso che la rete di spionaggio sia rimasta attiva per 5 anni senza che nessuno si accorgesse di nulla.
Ma chi tira le fila di questo gruppo? Gli analisti Kaspersky non si sbilanciano e si limitano a dire che con tutta probabilità l’operazione è sponsorizzata da un’organizzazione governativa.
L’analisi del codice degli impianti, d’altra parte, sembra non offrire grossi spunti per poter speculare sull’origine di questa attività. Tutto il testo “umano” è infatti in lingua inglese e gli unici termini rintracciabili scritti in una lingua “non anglosassone” sono… in italiano!
Uno dei file di configurazione, infatti, contiene un elenco di parole chiavi che l’impianto dovrebbe ricercare sul sistema. Tra queste ci sono alcuni termini in lingua italiana, come “codice” e ”segreto”.
La presenza di questi termini, però, non aiuta a capire l’origine dell’attacco, ma può al massimo far pensare che tra i bersagli ci fossero delle istituzioni del nostro paese o, per lo meno, che hanno a che fare con il nostro paese.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in... -
Attacco ai router Huawei dietro blackout telecom del... Un attacco informatico basato su una vulnerabilità... -
MSHTA, lo “zombie” di IE che alimenta attacchi su... Nonostante Internet Explorer sia ormai ufficialmente morto... -
NGINX Rift, rischio RCE per una falla rimasta nascosta 18... Una vulnerabilità critica rimasta nascosta per quasi due... -
Falso repository OpenAI su Hugging Face distribuisce La corsa all’AI sta creando nuove superfici di attacco...
Ransomware: la serie
No posts found.