Aggiornamenti recenti Luglio 4th, 2025 3:43 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un cartello messicano ha spiato l’FBI hackerando i suoi dispositivi
- IconAds: quando le app fantasma diventano portali pubblicitari
- Ransomware e conflitti d’interesse: ex negoziatore sotto inchiesta per presunti legami con i cybercriminali
- In aumento i cyberattacchi dall’Iran: l’allarme delle agenzie di sicurezza americane
- Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
Spionaggio russo: scoperta una campagna attiva dal 2022
La CISA ha pubblicato un advisory di sicurezza dove descrive le attività di un gruppo cyber filo-russo che, a partire dal 2022, ha preso di mira compagnie tecnologiche e aziende del settore della logistica con una lunga e complessa campagna spionaggio.
L’obiettivo del gruppo non è soltanto di seguire le rotte degli aiuti diretti all’Ucraina, ma anche di causare interruzioni a queste attività, mettendo a rischio gli sforzi dei paesi europei e degli Stati Uniti.
Dietro la campagna c’è il gruppo APT28, noto anche come Fancy Bear, Forest Blizzard e Blue Delta, legato a un’unità militare russa. Le attività di spionaggio del gruppo russo hanno preso di mira numerose entità e organizzazioni internazionali dei settori della difesa, dei trasporti, marittimo, della gestione del traffico aereo e dei servizi IT. Tra i Paesi colpiti figura anche l’Italia.
Le attività di APT28 spiccano sia per complessità che per eterogeneità. Per l’accesso iniziale la cybergang ha usato numerose tecniche, tra le quali il brute force, lo spearphishing, spesso con annessa distribuzione di malware, e ha sfruttato le vulnerabilità di Outlook, Roundcube, WinRAR, delle VPN aziendali e di altre infrastrutture esposte.
Dopo la compromissione iniziale dei sistemi, gli attaccanti hanno sfruttato la loro posizione per individuare nuovi obiettivi, cercando in particolare i dipartimenti di cybersecurity delle organizzazioni e i singoli responsabili dietro le operazioni di trasporto. Per muoversi lateralmente, il gruppo ha usato tool quali Impacket e PsExec; per l’esfiltrazione dei dati, la scelta è ricaduta su Certipy e ADExplorer, fra gli altri.
Le informazioni raccolte dagli attaccanti contengono dettagli su mittenti e destinatari delle consegne, numeri identificativi di aerei, treni o navi, luogo di partenza e destinazione, identificativi dei container, percorsi e contenuto delle spedizioni. Il gruppo ha inoltre distribuito diverse varianti di malware noti, tra le quali le backdoor Headlace e Masepie.
Il gruppo ha inoltre compromesso diverse telecamere connesse situate lungo i confini ucraini, nelle stazioni militari e nelle stazioni ferroviarie per monitorare e tracciare tutti gli spostamenti e le consegne da parte degli alleati del Paese. In alcuni casi gli attaccanti si sono serviti anche delle telecamere per il monitoraggio del traffico cittadino.
L’advisory della CISA, rilasciato in collaborazione con organizzazioni quali l’FBI, l’NSA, l’ANSSI (l’agenzia per la cybersecurity francese), l’MIVD (il servizio di intelligence e sicurezza olandese) e il CCCS (Canadian Center for Cyber Security), include una serie di indicazioni per mitigare i rischi degli attacchi del gruppo, comprese quelle specifiche per le telecamere, e gli indicatori di compromissione.
Condividi l'articolo
M&S perde un terzo dei profitti a causa di un attacco informatico
I ruoli di default di AWS consentono compromissioni e movimento laterale
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un cartello messicano ha spiato l’FBI hackerando i... Il Sinaloa, un cartello messicano, è riuscito ad... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
-
Ransomware e conflitti d’interesse: ex negoziatore sotto... Secondo quanto riportato da un articolo di Bloomberg, un... -
In aumento i cyberattacchi dall’Iran: l’allarme... In un documento congiunto rilasciato ieri, la CISA,... -
Una vulnerabilità di Open VSX Registry mette in pericolo... I ricercatori di Koi Security hanno individuato una...
Ransomware: la serie
No posts found.