CRONACA AGGIORNATA OGNI ORA

Condividi:

Pubblicato il 08/08/2014

L’ITALIA CROVEVIA DEL CYBER SPIONAGGIO NEL MIRINO DEGLI HACKER



L’Italia è al tredicesimo posto della classifica dei paesi vittime di un massiccio attacco di cyber-spionaggio.

PARMA- Si chiama “Epic” la prima fase dell’infezione multistadio della campagna Turla Turla, nota anche come Snake o Uroburos ovvero una delle più sofisticate campagne di cyber-spionaggio ancora in corso.

La prima indagine pubblicata su Turla/Snake/Uroburos non aveva risposto ad una domanda molto importante: come vengono infettate le
vittime?

Gli ultimi risultati dell’indagine di Kaspersky Lab su questa operazione rivelano che l’attacco Epic è la fase iniziale del processo di infezione delle vittime di Turla.

Il progetto “Epic” è stato usato sin dal 2012, con il livello più alto di attività registrato nei mesi di gennaio e febbraio del 2014. Più recentemente, Kaspersky Lab ha rilevato questo tipo di attacco contro uno dei suoi utenti il 5 Agosto 2014.

Gli obiettivi presi di mira da “Epic” appartengono alle seguenti categorie:

enti pubblici (Ministero dell’Interno,
Ministero del Commercio,
Ministero degli Affari Esteri,
Agenzie di intelligence,
ambasciate,
forze armate,
istituti di ricerca e istruzione e aziende farmaceutiche.

In totale, gli esperti di Kaspersky Lab contano diverse centinaia di indirizzi IP, tutti vittime della campagna in più di 45 paesi.
La Francia risulta la più colpita seguita da Stati Uniti e Iran. L’Italia è al tredicesimo posto della classifica dei paesi vittime di questo massiccio attacco di cyber-spionaggio.

Come avviene l’attacco

I ricercatori di Kaspersky Lab hanno scoperto che per infettare le vittime, gli hacker che si celano dietro Epic Turla, utilizzano attacchi del tipo exploit zero-day ( un ordine di malware, di partenza di codici infettivi all’interno di un trojan, ndr), di social engineering ( studio dei comportamenti di un gruppo, un forum, un team di dipendenti pe rpoi infettare i siti che loro frequentano) , e tecniche di watering hole, ovvero la messa a disposizione di downloads apparentemente inoffensivi quali flasplayer etc .


water hole” significa letteralmente “pozza d’acqua” o “abbeveratorio”, considerata come un’evoluzione del social engineering, vale a dire lo studio del comportamento di un utente al fine di procurare informazioni utili. Di fatto il water hole attack è una tecnica di phishing molto elaborata che ha come target utenti molto esperti e gruppi specifici
Gli hacke ne studiano le abitudini , cercano di capire come si muovono sulla rete, a quali risorse attingono con regolarità per poi andare a colpire proprio quei siti che usano abitualmente e che reputano sicuri poiché non solo sono sempre stati utilizzati come fonte fondamentale per il reperimento delle informazioni, ma sono soprattutto di emanazione di aziende affidabili”. In sostanza l’utente entra nella trappola da solo.

In passato, sono stati utilizzati almeno due exploit zero-day: uno per la Escalation of Privileges (EOP) in Windows XP e Windows Server 2003 (CVE-2013-5065), che permette alla backdoor Epic di ottenere i privilegi di amministratore di sistema ed operare senza restrizioni; l’altro è un exploit in Adobe Reader (CVE-2013-3346), che viene utilizzato all’interno di allegati di posta elettronica nocivi.

Ogni volta che l’utente, ignaro di tutto, apre un file PDF dannoso su un sistema vulnerabile, la macchina verrà automaticamente infettata, permettendo al criminale di ottenere il controllo immediato e completo del sistema.

Per infettare le vittime i criminali utilizzano sia le email spear-phishing dirette che gli attacchi watering hole. Gli attacchi identificati in questa operazione si dividono in diverse categorie a seconda del vettore di infezione iniziale utilizzato per danneggiare la vittima: Spear-phishing e-mail con exploit Adobe PDF (CVE-2013-3346 + CVE-2013-5065)

Social engineering
per ingannare l’utente e spingerlo ad attivare gli installer del malware con estensione “SCR”, a volte archiviati in RAR

Attacchi watering hole utilizzando exploit Java
(CVE-2012-1723), exploit di Adobe Flash (sconosciuti) o exploit di Internet Explorer 6, 7, 8 (sconosciuti)

Attacchi watering hole che si basano su tecniche di social engineering per ingannare l’utente spingendolo ad attivare falsi “Flash Player” installer di malware

Leggi anche