Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Ott 12, 2018 Marco Schiaffino Attacchi, Hacking, Malware, News, RSS, Scenario 0
Il dubbio che la mano fosse la stessa c’era, se non altro per il fatto che tutti gli attacchi avevano preso di mira principalmente l’Ucraina. Ora, però, c’è un elemento in più per collegare gli attacchi alle infrastrutture industriali ucraine (BlackEnergy nel 2015 e Industroyer nel 2016) a NotPetya, il “falso ransomware” che nel giugno 2017 ha cominciato a diffondersi proprio da Kiev.
A elaborare la connessione sono stati i ricercatori di ESET, che da tempo si stanno impegnando sul tema, analizzando il codice dei malware e il modus operandi dei pirati informatici alla ricerca di qualche indizio.
La loro tesi è che tutti gli attacchi siano opera del gruppo TeleBots, una vecchia conoscenza degli esperti di sicurezza a cui sono stati attribuiti gli attacchi del 2015 e del 2017.
Ma andiamo con ordine. La prima “impresa” dei TeleBots, come raccontano i ricercatori in un post pubblicato sul blog della società di sicurezza, è stato appunto BlackEnergy. L’attacco, che nel 2015 ha colpito alcune centrali elettriche ucraine provocando un gravissimo black out, è praticamente passato alla storia.
Successivamente il gruppo si sarebbe dedicato a una serie di attacchi (con strumenti diversi) nei confronti di istituzioni finanziarie ucraine. L’attribuzione a TeleBots di queste attività, spiegano gli autori del report, deriva dall’analisi delle infrastrutture usate.
Fino a oggi le tracce del gruppo si perdevano fino all’altro clamoroso attacco che nel 2017 ha preso di mira l’Ucraina: quel NotPetya che per qualche ora ha fatto temere il ripetersi di un’infezione globale come quella di WannaCry.
Nell’intervallo di tempo che separa i due episodi, però, in Ucraina si è verificato un altro attacco nei confronti di impianti industriali e anche in questo caso gli esperti di sicurezza si sono trovati di fronte un malware estremamente complesso: Industroyer.
Fino a qualche tempo fa, però, non era emersa alcuna evidenza che potesse permettere di collegare anche questo attacco ai TeleBots. La prova individuata dai ricercatori è arrivata nell’aprile 2018, quando hanno scoperto una nuova backdoor utilizzata dai TelebBots, che è stata battezzata con il nome di Exaramel.
Analizzandone il codice, dalle parti di ESET si sono resi conto che c’erano delle forti similitudini con la backdoor utilizzata in Industroyer. Stando al report, anzi, le due backdoor sarebbero praticamente identiche e si differenzierebbero solo per il formato utilizzato per le comunicazioni. La nuova backdoor usa XML, mentre quella vecchia usava un formato binario personalizzato.
Nel lungo e dettagliato report emerge anche un elemento piuttosto curioso, indice del fatto che ai pirati informatici non sono sfuggite le “£attenzioni” che gli stanno dedicando i ricercatori di ESET. I nomi di dominio dei server Command and Control usati dai TeleBots imitano quelli di ESET, con varianti del tipo esetsmart.org o um10eset.net.
L’uso di domini di questo tipo, a volte, può significare che i pirati cercano di “camuffare” le connessioni facendole passare per collegamenti legittimi. In questo caso, però, sembra più che i cyber-criminali stiano sfidando i ricercatori.
Ott 08, 2024 0
Ott 01, 2024 0
Set 10, 2024 0
Gen 18, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...