Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

Operazione WhiteBear: il gruppo Turla attacca ambasciate e consolati

Set 01, 2017 Marco Schiaffino Attacchi, Intrusione, Malware, News, RSS 0

I pirati informatici specializzati in cyber-spionaggio hanno utilizzato un nuovo malware per violare i sistemi di obiettivi di alto profilo.

Ambasciate, consolati e organizzazioni legate all’esercito e alla difesa. Sono questi gli obiettivi finiti nel mirino del famigerato gruppo Turla, che molti ricercatori considerano legati ad ambienti dei servizi segreti russi.

Stando a quanto riporta Kaspersky, che ha pubblicato un dettagliato report sulla vicenda, l’operazione sarebbe iniziata addirittura nel febbraio del 2016, quando Turla ha cominciato a prendere di mira le sedi diplomatiche di svariati paesi in Europa, Asia e Sud America utilizzando un nuovo malware che gli analisti hanno battezzato WhiteBear.

Gli analisti di Kaspersky non hanno ancora trovato prove riguardanti il vettore iniziale dell’attacco, anche se sospettano che i cyber-criminali abbiano utilizzato, come in passato, tecniche di Spear Phishing con allegati PDF infetti.

Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.

***foto***Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.

Molto di più si sa del malware utilizzato per compromettere i sistemi delle vittime. Si tratta di un trojan decisamente complesso, già a partire dalla fase iniziale dell’attacco. Il loader di WhiteBear sfrutta infatti due tecniche diverse di injection e contiene due binary: 201 e 202.

Dopo due minuti di attesa, esegue una serie di verifiche e il binary 201, il cui compito è di “preparare l’ambiente” per il caricamento del payload vero e proprio, contenuto nel binary 202. A questo scopo crea una pipe (un sistema di comunicazione interprocesso) che consente il caricamento del payload.

Il componente principale di WhiteBear comprende numerosi file (compressi e protetti da crittografia) che contengono i dati di configurazione e le risorse necessarie al suo funzionamento.

Una volta in comunicazione con i server Command and Control (C&C) consente al gruppo Turla di fare pressoché qualsiasi cosa e, in particolare, di installare ulteriori moduli che gli consentono di ampliare le funzionalità del malware.

Come già accaduto in passato, i server C&C di WhiteBear sfruttano un collegamento che i cyber-criminali gestiscono dirottando comunicazioni satellitari. I server individuati da Kaspersky si trovano in Congo e Sud Sudan, mentre un terzo non è stato localizzato ma sembra essere posizionato comunque in Africa.

Turla non è nuovo a usare tecniche piuttosto originali per nascondere la posizione dei suoi server C&C. In altri casi ha utilizzato anche informazioni nascoste all’interno dei commenti su Instagram di celebrità come Britney Spears.

Condividi l'articolo