Aggiornamenti recenti Giugno 21st, 2026 1:25 PM
Set 01, 2017 Marco Schiaffino Attacchi, Intrusione, Malware, News, RSS 0
Ambasciate, consolati e organizzazioni legate all’esercito e alla difesa. Sono questi gli obiettivi finiti nel mirino del famigerato gruppo Turla, che molti ricercatori considerano legati ad ambienti dei servizi segreti russi.
Stando a quanto riporta Kaspersky, che ha pubblicato un dettagliato report sulla vicenda, l’operazione sarebbe iniziata addirittura nel febbraio del 2016, quando Turla ha cominciato a prendere di mira le sedi diplomatiche di svariati paesi in Europa, Asia e Sud America utilizzando un nuovo malware che gli analisti hanno battezzato WhiteBear.
Gli analisti di Kaspersky non hanno ancora trovato prove riguardanti il vettore iniziale dell’attacco, anche se sospettano che i cyber-criminali abbiano utilizzato, come in passato, tecniche di Spear Phishing con allegati PDF infetti.

Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.
***foto***Secondo i ricercatori, i documenti usati come veicolo di infezione sono spesso sottratti ad altri uffici compromessi dal gruppo. Questo rende l’attacco estremamente difficile da individuare.
Molto di più si sa del malware utilizzato per compromettere i sistemi delle vittime. Si tratta di un trojan decisamente complesso, già a partire dalla fase iniziale dell’attacco. Il loader di WhiteBear sfrutta infatti due tecniche diverse di injection e contiene due binary: 201 e 202.
Dopo due minuti di attesa, esegue una serie di verifiche e il binary 201, il cui compito è di “preparare l’ambiente” per il caricamento del payload vero e proprio, contenuto nel binary 202. A questo scopo crea una pipe (un sistema di comunicazione interprocesso) che consente il caricamento del payload.
Il componente principale di WhiteBear comprende numerosi file (compressi e protetti da crittografia) che contengono i dati di configurazione e le risorse necessarie al suo funzionamento.
Una volta in comunicazione con i server Command and Control (C&C) consente al gruppo Turla di fare pressoché qualsiasi cosa e, in particolare, di installare ulteriori moduli che gli consentono di ampliare le funzionalità del malware.
Come già accaduto in passato, i server C&C di WhiteBear sfruttano un collegamento che i cyber-criminali gestiscono dirottando comunicazioni satellitari. I server individuati da Kaspersky si trovano in Congo e Sud Sudan, mentre un terzo non è stato localizzato ma sembra essere posizionato comunque in Africa.
Turla non è nuovo a usare tecniche piuttosto originali per nascondere la posizione dei suoi server C&C. In altri casi ha utilizzato anche informazioni nascoste all’interno dei commenti su Instagram di celebrità come Britney Spears.
Mag 25, 2026 0
Feb 05, 2026 0
Gen 30, 2026 0
Dic 04, 2025 0
Giu 21, 2026 0
Giu 16, 2026 0
Giu 09, 2026 0
Giu 04, 2026 0
Giu 09, 2026 0
Il nuovo assetto geopolitico mondiale ha messo a nudo una...
Mag 28, 2026 0
A leggere il nuovo “2026 Cloud Security Report”...
Mag 25, 2026 0
Un volto reale può essere modificato dall’intelligenza...
Mag 22, 2026 0
Gli agenti di intelligenza artificiale sono ormai entrati...
Mag 07, 2026 0
Il problema del dipendente “infedele” è vecchio quanto...
Gen 29, 2025 0
Con l’avvento dell’IA generativa...
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...
Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...
Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...
Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...
Giu 21, 2026 0
La rapida diffusione degli Agenti AI sta creando un...
Giu 16, 2026 0
Sebbene il numero di casi d’uso nel nostro Paese sia...
Giu 09, 2026 0
Il nuovo assetto geopolitico mondiale ha messo a nudo
Giu 04, 2026 0
Un gruppo cybercriminale di lingua cinese fino a poco...
Mag 28, 2026 0
A leggere il nuovo “2026 Cloud Security Report”...
