Aggiornamenti recenti Maggio 14th, 2024 2:48 PM
Nov 07, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Intrusione, Leaks, Malware, News, RSS 0
È stato battezzato DarkUniverse ed è un gruppo ATP (Advanced Persistent Threat) che, probabilmente, opera da anni per conto di un qualche governo. La sua esistenza è stata svelata da Kaspersky, i cui ricercatori ritengono che Dark Universe sia attivo almeno dal 2009.
La parte più interessante di tutta la vicenda, però, riguarda il modo in cui gli esperti di sicurezza hanno individuato il gruppo di cyber-spioni.
Tutto comincia nel 2017, quando il misterioso gruppo hacker degli Shadow Brokers (che i nostri lettori più affezionati ricorderanno bene) rilascia su Internet un pacchetto di dati presumibilmente sottratto alla National Security Agency.
In quel database, gli esperti trovano decine di strumenti di hacking utilizzati dagli 007 americani, tra cui EternalBlue, l’exploit che in seguito è stato utilizzato per diffondere il ransomware WannaCry.
Nel pacchetto di strumenti pubblicato dagli Shadow Brokers, però, c’è anche un file chiamato sigs.py, uno script progettato per individuare l’eventuale presenza di altri malware APT su un computer. L’ipotesi è che gli agenti segreti USA lo utilizzassero per individuare eventuali infiltrazioni di servizi “concorrenti” sulla macchina che stavano per compromettere.
Analizzando lo script, dalle parti di Kaspersky si sono resi conto che l’NSA, sotto questo punto di vista, era molto più avanti di tutte le società di sicurezza private. Lo strumento, infatti, consentiva di individuare una serie di tool di spionaggio ancora sconosciuti nel settore.
Uno di questi APT, però, ha attirato in particolare l’attenzione dei ricercatori. Quando hanno approfondito lo studio, hanno individuato almeno 20 vittime colpite dal trojan. Si tratta di enti pubblici (anche in campo militare) e organizzazioni private con sede in Siria, Iran, Afghanistan, Tanzania, Etiopia, Sudan, Russia, Bielorussia ed Emirati Arabi Uniti.
DarkUniverse (il nome è stato scelto dagli analisti Kaspersky) è una vera piattaforma di spionaggio che consente di controllare a distanza il computer infetto attraverso un server Command and Control grazie al quale i pirati possono fare più o meno quello che vogliono.
Da un punto di vista tecnico, DarkUniverse integra un numero impressionante di funzioni e adotta “alcune finezze” come la possibilità di spezzettare i file in blocchi da 400 KB per offuscare le operazioni di esflitrazione.
Ma chi ha realizzato e diffuso il malware? I ricercatori non si sbilanciano, ma nel loro report notano che alcune parti di codice sono identiche a quelle di ItaDuke, un trojan utilizzato dal governo cinese per spiare cittadini appartenenti alla minoranza mussulmana Uiguri e in Tibet.
Mag 09, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 16, 2024 0
Mag 14, 2024 0
Mag 14, 2024 0
Mag 13, 2024 0
Mag 10, 2024 0
Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 10, 2024 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 14, 2024 0
Apple e Google hanno annunciato la disponibilità di...Mag 14, 2024 0
Dalla sua prima identificazione nell’aprile 2022 a...Mag 13, 2024 0
Nell’ultima settimana, il CERT-AGID ha identificato e...Mag 10, 2024 0
Microsoft ha deciso di gestire le vulnerabilità DNS...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...