Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Il Callisto Group porta attacchi mirati di alto profilo
Il gruppo di hacker utilizza una versione personalizzata dei malware sviluppati da Hacking Team. F-Secure: “sono attivi dal 2015 e non si fermano”.
Accanto alla bolgia di criminali da mezza tacca che infesta i bassifondi di Internet, si muovono gruppi che rappresentano una sorta di “elite” della pirateria informatica.
Si tratta di gruppi organizzati, alcuni dei quali hanno legami con servizi segreti e governi, che adottano strumenti più sofisticati e preferiscono mantenere un “basso profilo”, passando per lo più inosservati. Nonostante tutti i loro sforzi, però, capita che qualcuno riesca ad accendere i riflettori sulla loro attività
È quello che ha fatto F-Secure pubblicando un report che tratteggia le caratteristiche e le attività di Callisto Group, una gang di cyber-criminali che opera (più o meno) indisturbata fin dal 2015.
Come spiegano i ricercatori della società finlandese, i pirati informatici che lavorano in Callisto Group hanno le idee estremamente chiare sui loro obiettivi e hanno messo a punto una strategia in più fasi per portarla a compimento.
La prima attività individuata da F-Secure risale all’ottobre del 2015, ma secondo i ricercatori il gruppo è sempre attivo e usa sempre lo stesso modus operandi. Tutto inizia con una campagna mirata di phishing, che ha come obiettivo il furto delle credenziali di accesso relative ad alcuni account Gmail, accuratamente selezionati dai pirati.
Lo schema non è particolarmente complicato, ma eseguito con estrema cura e precisione. Il vettore di attacco è un’email in cui si comunica alla potenziale vittima che il suo account può risulta essere stato compromesso.
Nel confezionare il messaggio, riferiscono i ricercatori di F-Secure, i pirati si sono preoccupati di utilizzare tutti gli accorgimenti utili a rendere credibile
Naturalmente il messaggio invita l’utente a eseguire una immediata verifica. Il collegamento inserito nell’email, però, conduce a una pagina Web del tutto simile a quella di Gmail, ma controllata dai cyber-criminali.
Il metodo più semplice per rubare le credenziali di accesso a un servizio è quello di spaventare la vittima e indurlo a dartele “spontaneamente”.
Una volta preso possesso di un numero sufficiente di account, i membri del Callisto Group hanno quello che gli serve per passare alla seconda fase del piano: colpire i reali bersagli.
Per farlo utilizzano la tecnica dello spear-phishing, cioè l’invio di messaggi di posta elettronica estremamente mirati ai bersagli, inviati sfruttando gli account di posta di cui si sono impadroniti.
Si tratta di una tattica utilizzata piuttosto frequentemente negli attacchi di alto profilo, che richiede un po’ di astuzia e, soprattutto, fa leva sul fatto che la potenziale vittima sia meno sospettosa quando riceve un messaggio da un mittente che conosce.
Le email inviate dal Callisto Group ai suoi bersagli contengono infatti un file di Word in formato .DOCX, al cui interno però è nascosto un malware per la cui esecuzione è necessario che l’utente dia il suo consenso.
L’avviso consiglia di consentire l’operazione solo se si è “assolutamente certi della natura, provenienza e contenuto del pacchetto”. Ma se arriva da un collega o da un amico, che pericolo ci può essere?
Il malware nascosto nel documento è una vecchia conoscenza degli esperti di sicurezza: si tratta di Scout, uno dei tool di spionaggio sviluppati dalla milanese Hacking Team e finito nella disponibilità di chiunque dopo il “leak” conseguente al furto di dati subito dall’azienda nel 2015.
Scout viene definita dai ricercatori di F-Secure come una backdoor “leggera”, che si limita a raccogliere informazioni di base riguardo il computer infetto, catturare schermate ma che permette, in seguito, l’installazione di ulteriore malware della piattaforma di spionaggio Galileo di Hacking Team.
Secondo quanto ricostruito dagli analisti, si tratterebbe in ogni caso di una variante sviluppata in proprio dal Callisto Group, partendo dagli installer originali.
I bersagli presi di mira dal Callisto Group sono giornalisti o professionisti coinvolti a vario titolo in paesi europei (in ambito militare o governativo) nel settore della politica estera. Impossibile, però, sapere se Callisto Group sia un gruppo direttamente collegato ai servizi segreti o, invece, composto da “freelance” che lavorano per il miglior offerente.
Condividi l'articolo
Caratteri stranieri: rischio phishing su Chrome, Firefox e Opera
Stop agli aggiornamenti per Windows 7 e 8.1 sui nuovi PC
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
