Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Ott 12, 2018 Marco Schiaffino Attacchi, Hacking, Malware, News, RSS, Scenario 0
Il dubbio che la mano fosse la stessa c’era, se non altro per il fatto che tutti gli attacchi avevano preso di mira principalmente l’Ucraina. Ora, però, c’è un elemento in più per collegare gli attacchi alle infrastrutture industriali ucraine (BlackEnergy nel 2015 e Industroyer nel 2016) a NotPetya, il “falso ransomware” che nel giugno 2017 ha cominciato a diffondersi proprio da Kiev.
A elaborare la connessione sono stati i ricercatori di ESET, che da tempo si stanno impegnando sul tema, analizzando il codice dei malware e il modus operandi dei pirati informatici alla ricerca di qualche indizio.
La loro tesi è che tutti gli attacchi siano opera del gruppo TeleBots, una vecchia conoscenza degli esperti di sicurezza a cui sono stati attribuiti gli attacchi del 2015 e del 2017.
Ma andiamo con ordine. La prima “impresa” dei TeleBots, come raccontano i ricercatori in un post pubblicato sul blog della società di sicurezza, è stato appunto BlackEnergy. L’attacco, che nel 2015 ha colpito alcune centrali elettriche ucraine provocando un gravissimo black out, è praticamente passato alla storia.
Successivamente il gruppo si sarebbe dedicato a una serie di attacchi (con strumenti diversi) nei confronti di istituzioni finanziarie ucraine. L’attribuzione a TeleBots di queste attività, spiegano gli autori del report, deriva dall’analisi delle infrastrutture usate.
Fino a oggi le tracce del gruppo si perdevano fino all’altro clamoroso attacco che nel 2017 ha preso di mira l’Ucraina: quel NotPetya che per qualche ora ha fatto temere il ripetersi di un’infezione globale come quella di WannaCry.
Nell’intervallo di tempo che separa i due episodi, però, in Ucraina si è verificato un altro attacco nei confronti di impianti industriali e anche in questo caso gli esperti di sicurezza si sono trovati di fronte un malware estremamente complesso: Industroyer.
Fino a qualche tempo fa, però, non era emersa alcuna evidenza che potesse permettere di collegare anche questo attacco ai TeleBots. La prova individuata dai ricercatori è arrivata nell’aprile 2018, quando hanno scoperto una nuova backdoor utilizzata dai TelebBots, che è stata battezzata con il nome di Exaramel.
Analizzandone il codice, dalle parti di ESET si sono resi conto che c’erano delle forti similitudini con la backdoor utilizzata in Industroyer. Stando al report, anzi, le due backdoor sarebbero praticamente identiche e si differenzierebbero solo per il formato utilizzato per le comunicazioni. La nuova backdoor usa XML, mentre quella vecchia usava un formato binario personalizzato.
Nel lungo e dettagliato report emerge anche un elemento piuttosto curioso, indice del fatto che ai pirati informatici non sono sfuggite le “£attenzioni” che gli stanno dedicando i ricercatori di ESET. I nomi di dominio dei server Command and Control usati dai TeleBots imitano quelli di ESET, con varianti del tipo esetsmart.org o um10eset.net.
L’uso di domini di questo tipo, a volte, può significare che i pirati cercano di “camuffare” le connessioni facendole passare per collegamenti legittimi. In questo caso, però, sembra più che i cyber-criminali stiano sfidando i ricercatori.
Gen 18, 2024 0
Dic 21, 2023 0
Dic 12, 2023 0
Mag 30, 2023 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...