Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
La rete di spionaggio ProjectSauron
Le comunicazioni con l’esterno
La trasmissione dei dati sottratti avviene utilizzando tecniche che gli esperti di Kaspersky definiscono, ancora una volta, “decisamente insolite”.
Le tecniche utilizzate son due: l’email e una tecnica di tunneling dei DNS. L’utilizzo della posta elettronica avviene tramite l’invio di email che sono confezionate in modo da apparire inviate da un client di posta (Thunderbird 2.0.0.9) e contengono un breve messaggio di testo e un oggetto assolutamente anonimo.
I dati rubati vengono invece inseriti sotto forma di un Data.bin codificato in Base64. Qualcosa, insomma, che può passare tranquillamente per un pacchetto di dati di una qualsiasi applicazione e che mai e poi mai farà squillare una campanella d’allarme in un software di protezione.
Testo anonimo e dati incomprensibili. L’email ha ottime possibilità di passare inosservata.
L’esfiltrazione dei dati tramite DNS viene invece attuata in modalità di banda ridotta, per non dare troppo nell’occhio. Tutto il processo di trasmissione dei dati, però, viene monitorato e il progresso della trasmissione viene controllato in tempo reale comunicandone i dettagli a un server esterno.
Ancora una volta, le caratteristiche di ProjectSauron fanno pensare quindi all’opera di un gruppo estremamente organizzato che agisce avendo come obiettivo primario quello di passare inosservato. Non è un caso che la rete di spionaggio sia rimasta attiva per 5 anni senza che nessuno si accorgesse di nulla.
Ma chi tira le fila di questo gruppo? Gli analisti Kaspersky non si sbilanciano e si limitano a dire che con tutta probabilità l’operazione è sponsorizzata da un’organizzazione governativa.
L’analisi del codice degli impianti, d’altra parte, sembra non offrire grossi spunti per poter speculare sull’origine di questa attività. Tutto il testo “umano” è infatti in lingua inglese e gli unici termini rintracciabili scritti in una lingua “non anglosassone” sono… in italiano!
Uno dei file di configurazione, infatti, contiene un elenco di parole chiavi che l’impianto dovrebbe ricercare sul sistema. Tra queste ci sono alcuni termini in lingua italiana, come “codice” e ”segreto”.
La presenza di questi termini, però, non aiuta a capire l’origine dell’attacco, ma può al massimo far pensare che tra i bersagli ci fossero delle istituzioni del nostro paese o, per lo meno, che hanno a che fare con il nostro paese.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
