Aggiornamenti recenti Dicembre 4th, 2025 10:32 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
- CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi malware via SMS
DarkUniverse: il gruppo di cyber-spioni che conosceva solo l’NSA
Il gruppo ATP ha agito nell’ombra per anni e ha cessato la sua attività dopo che è stato scoperto grazie al leak degli… Shadow Brokers!
È stato battezzato DarkUniverse ed è un gruppo ATP (Advanced Persistent Threat) che, probabilmente, opera da anni per conto di un qualche governo. La sua esistenza è stata svelata da Kaspersky, i cui ricercatori ritengono che Dark Universe sia attivo almeno dal 2009.
La parte più interessante di tutta la vicenda, però, riguarda il modo in cui gli esperti di sicurezza hanno individuato il gruppo di cyber-spioni.
Tutto comincia nel 2017, quando il misterioso gruppo hacker degli Shadow Brokers (che i nostri lettori più affezionati ricorderanno bene) rilascia su Internet un pacchetto di dati presumibilmente sottratto alla National Security Agency.
In quel database, gli esperti trovano decine di strumenti di hacking utilizzati dagli 007 americani, tra cui EternalBlue, l’exploit che in seguito è stato utilizzato per diffondere il ransomware WannaCry.
Nel pacchetto di strumenti pubblicato dagli Shadow Brokers, però, c’è anche un file chiamato sigs.py, uno script progettato per individuare l’eventuale presenza di altri malware APT su un computer. L’ipotesi è che gli agenti segreti USA lo utilizzassero per individuare eventuali infiltrazioni di servizi “concorrenti” sulla macchina che stavano per compromettere.
Analizzando lo script, dalle parti di Kaspersky si sono resi conto che l’NSA, sotto questo punto di vista, era molto più avanti di tutte le società di sicurezza private. Lo strumento, infatti, consentiva di individuare una serie di tool di spionaggio ancora sconosciuti nel settore.
Uno di questi APT, però, ha attirato in particolare l’attenzione dei ricercatori. Quando hanno approfondito lo studio, hanno individuato almeno 20 vittime colpite dal trojan. Si tratta di enti pubblici (anche in campo militare) e organizzazioni private con sede in Siria, Iran, Afghanistan, Tanzania, Etiopia, Sudan, Russia, Bielorussia ed Emirati Arabi Uniti.
DarkUniverse (il nome è stato scelto dagli analisti Kaspersky) è una vera piattaforma di spionaggio che consente di controllare a distanza il computer infetto attraverso un server Command and Control grazie al quale i pirati possono fare più o meno quello che vogliono.
Da un punto di vista tecnico, DarkUniverse integra un numero impressionante di funzioni e adotta “alcune finezze” come la possibilità di spezzettare i file in blocchi da 400 KB per offuscare le operazioni di esflitrazione.
Ma chi ha realizzato e diffuso il malware? I ricercatori non si sbilanciano, ma nel loro report notano che alcune parti di codice sono identiche a quelle di ItaDuke, un trojan utilizzato dal governo cinese per spiare cittadini appartenenti alla minoranza mussulmana Uiguri e in Tibet.
Condividi l'articolo
Errore negli SDK di Adobe. Le app non usano connessioni protette
Italia quarta al mondo per attacchi basati su Macro
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,...
Ransomware: la serie
No posts found.