Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Set 08, 2017 Marco Schiaffino Approfondimenti, Attacchi, Campagne malware, Hacking, In evidenza, Malware 0
L’attacco è stato portato da una vecchia conoscenza del settore: il gruppo Dragonfly, che secondo gli analisti di Symantec sarebbe in circolazione fin dal 2011.
Questa volta gli hacker hanno avviato una campagna in grande stile che ha preso di mira, in particolare, i sistemi informatici di alcuni impianti energetici negli USA e in Turchia.
Secondo i ricercatori Symantec, che hanno analizzato l’operazione in questo report, Dragonfly 2.0 sarebbe stata avviata nel dicembre del 2015, ma ora l’attività dei pirati informatici avrebbe aumentato di intensità, soprattutto in Turchia.
I vettori iniziali di attacco utilizzato dal gruppo Dragonfly, come accade spesso in questo genere di azioni, sono numerosi, a partire dal classico spear phishing. I pirati inviano email confezionate ad arte con documenti allegati attinenti a temi del settore energetico.
Non solo: secondo Symantec gli hacker si sono dati anche un gran da fare per compromettere siti Internet legittimi (sempre legati al settore energetico) per cercare di sottrarre le credenziali di impiegati delle aziende e organizzazioni finite nel loro mirino.
Il gruppo, però, ha cercato di utilizzare anche un’altra tecnica, cioè l’uso di applicazioni per Windows modificate per “piazzare” un trojan (nello specifico Backdoor.Dorshel) sui computer in cui vengono installate.
Non manca, infine, il “grande classico” degli aggiornamenti per Flash Player, che secondo i ricercatori verrebbero proposti attraverso tecniche di social engineering (probabilmente su siti compromessi) allo scopo di scaricare e installare una backdoor.
Insomma: con la nuova campagna sembra che il gruppo Dragonfly non si stia per niente risparmiando e stia facendo ricorso a tutto l’arsenale informatico a sua disposizione per raggiungere gli obiettivi.
Secondo Symantec, l’obiettivo finale dei pirati non sarebbe il semplice spionaggio industriale, ma potrebbe essere addirittura quello di procedere a un sabotaggio degli impianti. Una conclusione a cui giungono considerando il fatto che il lungo periodo di “studio” dei bersagli ricorda da vicino il modus operandi di altri attacchi del genere, come quelli portati con Stuxnet.
In queste considerazioni gioca un importante ruolo l’attribuzione al gruppo Dragonfly, conosciuto già in passato per essere specializzato in operazioni di alto livello tipiche (anche se i ricercatori non si sbilanciano su questo punto) di gruppi legati ai servizi di intelligence.
E sul fatto che ci sia un legame tra gli attacchi attuali e l’attività del gruppo nel 2014 ci sarebbero pochi dubbi. Buona parte degli strumenti utilizzati, infatti, corrisponderebbero (e in alcuni casi avrebbero porzioni di codice simili) a quelli già utilizzati da Dragonfly.
Secondo i ricercatori, le probabilità che si tratti di false flag (indizi fuorvianti inseriti appositamente per depistare le indagini – ndr) sono piuttosto basse. Paradossalmente, ciò che convince gli analisti di avere a che fare proprio con Dragonfly è proprio l’assenza di prove schiaccianti.
Anche in passato, infatti, il gruppo ha sempre fatto ricorso a strumenti piuttosto conosciuti (come i tool di amministrazione in remoto) rinunciando a sfruttare exploit zero-day che rappresenterebbero un chiaro “marchio di fabbrica” in grado di ricondurre a loro.
Apr 08, 2024 0
Mar 06, 2024 0
Gen 10, 2024 0
Set 21, 2023 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...