Aggiornamenti recenti Settembre 3rd, 2025 5:22 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hexstrike AI, nuovo tool di OffSec, è già stato preso di mira dal cybercrimine
- Il data breach contro Salesloft impatta centinaia di servizi
- Velociraptor, tool per l’analisi forense digitale, è stato sfruttato per l’accesso remoto
- Migrazione a Windows 11: le aziende devono affrontare molte sfide, ma qualsiasi ritardo è pericoloso
- Android, più sicurezza con la verifica dell’identità sviluppatori
DarkUniverse: il gruppo di cyber-spioni che conosceva solo l’NSA
Il gruppo ATP ha agito nell’ombra per anni e ha cessato la sua attività dopo che è stato scoperto grazie al leak degli… Shadow Brokers!
È stato battezzato DarkUniverse ed è un gruppo ATP (Advanced Persistent Threat) che, probabilmente, opera da anni per conto di un qualche governo. La sua esistenza è stata svelata da Kaspersky, i cui ricercatori ritengono che Dark Universe sia attivo almeno dal 2009.
La parte più interessante di tutta la vicenda, però, riguarda il modo in cui gli esperti di sicurezza hanno individuato il gruppo di cyber-spioni.
Tutto comincia nel 2017, quando il misterioso gruppo hacker degli Shadow Brokers (che i nostri lettori più affezionati ricorderanno bene) rilascia su Internet un pacchetto di dati presumibilmente sottratto alla National Security Agency.
In quel database, gli esperti trovano decine di strumenti di hacking utilizzati dagli 007 americani, tra cui EternalBlue, l’exploit che in seguito è stato utilizzato per diffondere il ransomware WannaCry.
Nel pacchetto di strumenti pubblicato dagli Shadow Brokers, però, c’è anche un file chiamato sigs.py, uno script progettato per individuare l’eventuale presenza di altri malware APT su un computer. L’ipotesi è che gli agenti segreti USA lo utilizzassero per individuare eventuali infiltrazioni di servizi “concorrenti” sulla macchina che stavano per compromettere.
Analizzando lo script, dalle parti di Kaspersky si sono resi conto che l’NSA, sotto questo punto di vista, era molto più avanti di tutte le società di sicurezza private. Lo strumento, infatti, consentiva di individuare una serie di tool di spionaggio ancora sconosciuti nel settore.
Uno di questi APT, però, ha attirato in particolare l’attenzione dei ricercatori. Quando hanno approfondito lo studio, hanno individuato almeno 20 vittime colpite dal trojan. Si tratta di enti pubblici (anche in campo militare) e organizzazioni private con sede in Siria, Iran, Afghanistan, Tanzania, Etiopia, Sudan, Russia, Bielorussia ed Emirati Arabi Uniti.
DarkUniverse (il nome è stato scelto dagli analisti Kaspersky) è una vera piattaforma di spionaggio che consente di controllare a distanza il computer infetto attraverso un server Command and Control grazie al quale i pirati possono fare più o meno quello che vogliono.
Da un punto di vista tecnico, DarkUniverse integra un numero impressionante di funzioni e adotta “alcune finezze” come la possibilità di spezzettare i file in blocchi da 400 KB per offuscare le operazioni di esflitrazione.
Ma chi ha realizzato e diffuso il malware? I ricercatori non si sbilanciano, ma nel loro report notano che alcune parti di codice sono identiche a quelle di ItaDuke, un trojan utilizzato dal governo cinese per spiare cittadini appartenenti alla minoranza mussulmana Uiguri e in Tibet.
Condividi l'articolo
Errore negli SDK di Adobe. Le app non usano connessioni protette
Italia quarta al mondo per attacchi basati su Macro
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle... -
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hexstrike AI, nuovo tool di OffSec, è già stato preso di... Appena rilasciato e già preso di mira dagli attaccanti:... -
Il data breach contro Salesloft impatta centinaia di Lo scorso 20 agosto Salesloft aveva avvertito di un... -
Velociraptor, tool per l’analisi forense digitale, è... Qualche giorno fa la Counter Threat Unit di Sophos ha... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto...
-
Android, più sicurezza con la verifica... Google ha deciso di aumentare la sicurezza dei dispositivi...
Ransomware: la serie
No posts found.