Aggiornamenti recenti Giugno 9th, 2026 12:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Infrastrutture Critiche e Geopolitica: è l’Era dell’Antifragilità
- Il gruppo criminale cinese TA4922 adesso punta anche all’Europa
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
- Kaspersky: la GenAI mette alla prova il riconoscimento facciale
DarkUniverse: il gruppo di cyber-spioni che conosceva solo l’NSA
Il gruppo ATP ha agito nell’ombra per anni e ha cessato la sua attività dopo che è stato scoperto grazie al leak degli… Shadow Brokers!
È stato battezzato DarkUniverse ed è un gruppo ATP (Advanced Persistent Threat) che, probabilmente, opera da anni per conto di un qualche governo. La sua esistenza è stata svelata da Kaspersky, i cui ricercatori ritengono che Dark Universe sia attivo almeno dal 2009.
La parte più interessante di tutta la vicenda, però, riguarda il modo in cui gli esperti di sicurezza hanno individuato il gruppo di cyber-spioni.
Tutto comincia nel 2017, quando il misterioso gruppo hacker degli Shadow Brokers (che i nostri lettori più affezionati ricorderanno bene) rilascia su Internet un pacchetto di dati presumibilmente sottratto alla National Security Agency.
In quel database, gli esperti trovano decine di strumenti di hacking utilizzati dagli 007 americani, tra cui EternalBlue, l’exploit che in seguito è stato utilizzato per diffondere il ransomware WannaCry.
Nel pacchetto di strumenti pubblicato dagli Shadow Brokers, però, c’è anche un file chiamato sigs.py, uno script progettato per individuare l’eventuale presenza di altri malware APT su un computer. L’ipotesi è che gli agenti segreti USA lo utilizzassero per individuare eventuali infiltrazioni di servizi “concorrenti” sulla macchina che stavano per compromettere.
Analizzando lo script, dalle parti di Kaspersky si sono resi conto che l’NSA, sotto questo punto di vista, era molto più avanti di tutte le società di sicurezza private. Lo strumento, infatti, consentiva di individuare una serie di tool di spionaggio ancora sconosciuti nel settore.
Uno di questi APT, però, ha attirato in particolare l’attenzione dei ricercatori. Quando hanno approfondito lo studio, hanno individuato almeno 20 vittime colpite dal trojan. Si tratta di enti pubblici (anche in campo militare) e organizzazioni private con sede in Siria, Iran, Afghanistan, Tanzania, Etiopia, Sudan, Russia, Bielorussia ed Emirati Arabi Uniti.
DarkUniverse (il nome è stato scelto dagli analisti Kaspersky) è una vera piattaforma di spionaggio che consente di controllare a distanza il computer infetto attraverso un server Command and Control grazie al quale i pirati possono fare più o meno quello che vogliono.
Da un punto di vista tecnico, DarkUniverse integra un numero impressionante di funzioni e adotta “alcune finezze” come la possibilità di spezzettare i file in blocchi da 400 KB per offuscare le operazioni di esflitrazione.
Ma chi ha realizzato e diffuso il malware? I ricercatori non si sbilanciano, ma nel loro report notano che alcune parti di codice sono identiche a quelle di ItaDuke, un trojan utilizzato dal governo cinese per spiare cittadini appartenenti alla minoranza mussulmana Uiguri e in Tibet.
Condividi l'articolo
Errore negli SDK di Adobe. Le app non usano connessioni protette
Italia quarta al mondo per attacchi basati su Macro
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo una... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo
-
Il gruppo criminale cinese TA4922 adesso punta anche... Un gruppo cybercriminale di lingua cinese fino a poco... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità... -
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in...
Ransomware: la serie
No posts found.