Aggiornamenti recenti Ottobre 9th, 2024 5:18 PM
Nov 07, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, News, RSS 0
È stato battezzato DarkUniverse ed è un gruppo ATP (Advanced Persistent Threat) che, probabilmente, opera da anni per conto di un qualche governo. La sua esistenza è stata svelata da Kaspersky, i cui ricercatori ritengono che Dark Universe sia attivo almeno dal 2009.
La parte più interessante di tutta la vicenda, però, riguarda il modo in cui gli esperti di sicurezza hanno individuato il gruppo di cyber-spioni.
Tutto comincia nel 2017, quando il misterioso gruppo hacker degli Shadow Brokers (che i nostri lettori più affezionati ricorderanno bene) rilascia su Internet un pacchetto di dati presumibilmente sottratto alla National Security Agency.
In quel database, gli esperti trovano decine di strumenti di hacking utilizzati dagli 007 americani, tra cui EternalBlue, l’exploit che in seguito è stato utilizzato per diffondere il ransomware WannaCry.
Nel pacchetto di strumenti pubblicato dagli Shadow Brokers, però, c’è anche un file chiamato sigs.py, uno script progettato per individuare l’eventuale presenza di altri malware APT su un computer. L’ipotesi è che gli agenti segreti USA lo utilizzassero per individuare eventuali infiltrazioni di servizi “concorrenti” sulla macchina che stavano per compromettere.
Analizzando lo script, dalle parti di Kaspersky si sono resi conto che l’NSA, sotto questo punto di vista, era molto più avanti di tutte le società di sicurezza private. Lo strumento, infatti, consentiva di individuare una serie di tool di spionaggio ancora sconosciuti nel settore.
Uno di questi APT, però, ha attirato in particolare l’attenzione dei ricercatori. Quando hanno approfondito lo studio, hanno individuato almeno 20 vittime colpite dal trojan. Si tratta di enti pubblici (anche in campo militare) e organizzazioni private con sede in Siria, Iran, Afghanistan, Tanzania, Etiopia, Sudan, Russia, Bielorussia ed Emirati Arabi Uniti.
DarkUniverse (il nome è stato scelto dagli analisti Kaspersky) è una vera piattaforma di spionaggio che consente di controllare a distanza il computer infetto attraverso un server Command and Control grazie al quale i pirati possono fare più o meno quello che vogliono.
Da un punto di vista tecnico, DarkUniverse integra un numero impressionante di funzioni e adotta “alcune finezze” come la possibilità di spezzettare i file in blocchi da 400 KB per offuscare le operazioni di esflitrazione.
Ma chi ha realizzato e diffuso il malware? I ricercatori non si sbilanciano, ma nel loro report notano che alcune parti di codice sono identiche a quelle di ItaDuke, un trojan utilizzato dal governo cinese per spiare cittadini appartenenti alla minoranza mussulmana Uiguri e in Tibet.
Ott 02, 2024 0
Set 30, 2024 0
Set 19, 2024 0
Ago 28, 2024 0
Ott 09, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 07, 2024 0
Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...Ott 07, 2024 0
I ricercatori di Acronis hanno individuato un attacco...Ott 07, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...