Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
La rete di spionaggio ProjectSauron
Un malware particolare
Sotto il profilo tecnico, gli impianti di ProjectSauron sono realizzati con una versione modificata di Lua, un linguaggio di programmazione multipiattaforma che consente ai pirati di avere la massima flessibilità nel gestire l’attività del malware in ambienti diversi.
Rilevare il codice maligno utilizzato dai cyber-spioni è piuttosto difficile. Tutti gli impianti individuati che fanno riferimento a ProjectSauron, infatti, appaiono realizzati “su misura” per ogni singolo bersaglio. Hanno nomi e dimensioni diverse e sono confezionati per avere la massima efficacia nell’ambiente in cui dovranno operare.
In molti casi, per esempio, contengono un modulo dedicato all’exploit di un particolare software per la crittografia dei dati in rete. I ricercatori Kaspersky, nel loro report, non ne citano il nome (lo definiscono genericamente “VirtualEncryptedNetwork” o “VEN”) per non offrire elementi che permettano di individuare le vittime degli attacchi.
Si tratta di un software il cui utilizzo viene definito dagli analisti “non comune” e utilizzato da molti dei bersagli per proteggere le comunicazioni, le chiamate vocali, la posta elettronica e lo scambio di documenti.
Quello che è certo, è che il sistema è al centro dei pensieri dei pirati affiliati a ProjectSauron. Gli impianti rilevati, infatti, sono programmati per cercare i componenti VEN attivi nella rete, memorizzare le chiavi crittografiche e identificare i server che ne gestiscono il funzionamento.
In molti casi, ProjectSauron ha anche installato moduli del suo impianto nelle directory di VEN per accedere ai dati trasmessi attraverso questo sistema. Analizzando il comportamento del malware, gli analisti si sono accorti che alcuni componenti cercano di comunicare con i server VEN come farebbero con un server Command and Control.
Un comportamento, questo, che potrebbe far pensare che i server di comunicazione VEN siano un obiettivo di ProjectSauron e che una volta compromessi potrebbero entrare a far parte della rete di spionaggio messa in piedi dai cyber-criminali.
Anche il sistema di comunicazione tra gli impianti e i server C&C ha caratteristiche uniche. L’operazione, infatti, prevede l’uso di numerosi server dedicati per ogni singolo bersaglio, che non vengono mai riutilizzati.
I server C&C sono sparpagliati per mezzo mondo e usano ISP diversi.
Insomma: chiunque ci sia dietro questa rete di spionaggio, non ha problemi di risorse né in termini di energie, né in termini di investimenti.
Le indagini dei ricercatori del GReAT hanno portato a individuare almeno 11 domini diversi utilizzati per gestire le comunicazioni. Gli autori degli attacchi, inoltre, si sono anche preoccupati di usare diversi Internet Provider per diversificare ulteriormente il loro schema di azione.
Anche l’installazione dei moduli di ProjectSauron utilizza una tecnica particolare. Spesso, infatti, la loro implementazione è portata a termine modificando gli script usati dagli amministratori di sistema per aggiornare i software installati sui singoli endpoint.
Il donwloader utilizzato ha dimensioni ridottissime (4-5 Kb) e nei casi in cui il malware memorizza su un disco il codice che gli serve, lo fa utilizzando nomi di file che fanno riferimento a programmi che hanno buone probabilità di passare inosservati, come gli agent per l’aggiornamento degli antivirus (Kaspersky, Symantec) o di altri produttori ben conosciuti (HP, VMware).
Stando a quanto scoperto dagli analisti, gli impianti di ProjectSauron potrebbero anche prevedere un sistema per raggiungere le macchine che non sono collegate alla rete locale. Tra i moduli analizzati, infatti, gli analisti ne hanno individuato uno che sembra avere come obiettivo l’utilizzo di unità rimovibili USB per sottrarre informazioni.
Nel dettaglio, ProjectSauron è in grado di modificare il contenuto delle unità di memoria USB che vengono collegate a una macchina infetta. Le modifiche prevedono la riduzione della partizione creando un’area nascosta di centinaia di MB che viene formattata con un file system virtuale. Quest’area non può essere riconosciuta dai normali sistemi operativi e rappresenterebbe quindi una sorta di “doppio fondo” in cui nascondere i dati da rubare.
La partizione contiene due cartelle principali nominate “In” e “Out”. Secondo i ricercatori, potrebbe trattarsi di una tecnica per cercare di sottrarre dati dai computer che non sono raggiungibili attraverso la rete. Le loro indagini, però, non gli hanno permesso di individuare il codice usato per avviare l’attività di estrazione delle informazioni.
Nel loro report, giungono alla conclusione che l’uso di unità di memoria USB compromesse sia una tattica utilizzata in rarissime occasioni.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
