Image by DCStudio
Fornisce l’analisi periodica delle ricerche sulle attività dei gruppi che attaccano aziende, organizzazioni e Paesi attraverso gli Advanced Persistent Threat (Apt). E’ la ricerca Eset Apt Activity Report T3 che, nell’ultima edizione, si riferisce al trimestre che ha chiuso il 2022. Questi report contengono solo una parte dei dati di intelligence sulla cybersecurity forniti ai clienti. Eset, infatti, realizza e dispone anche di una serie di report tecnici approfonditi con aggiornamenti frequenti, sulle attività di gruppi Apt specifici sotto forma di Eset Apt Reports Premium per aiutare le organizzazioni deputate alla protezione delle infrastrutture critiche nazionali e dei cittadini, a difendersi dai cyberattacchi criminali o diretti dagli Stati nazionali.
Si parla di gruppi, e non semplicemente di cybercrime, proprio perché l’analisi evidenzia l’attività Paese per Paese, con l’attenzione dovuta al delicato contesto geopolitico per cui potrebbe essere davvero complesso distinguere la mera attività del cybercrime, da quella più specifica dei gruppi di cyberwar.
Entriamo allora nei dettagli. I gruppi Apt di matrice russa continuano ad essere coinvolti in operazioni mirate contro l’Ucraina. Distribuiscono wiper e ransomware distruttivi, mentre uno sguardo di scenario evidenzia come il gruppo filo-cinese Goblin Panda sembra orientarsi a replicare l’interesse di Mustang Panda nei confronti dei Paesi europei, ed i gruppi affiliati all’Iran continuano a operare ad un ritmo elevato. La modalità operativa vede i gruppi Apt solitamente gestiti da soggetti sponsorizzati da uno stato o da una nazione.
Tra gli attacchi più perniciosi quello del gruppo Sandworm, per esempio, ha utilizzato un wiper non conosciuto per prendere di mira un’azienda del settore energetico. L’attacco, avvenuto in ottobre, si è registrato in concomitanza con i giorni in cui le forze armate russe hanno iniziato a lanciare attacchi missilistici contro le infrastrutture energetiche. Eset non è in grado di dimostrare che questi eventi fossero coordinati, ma gli eventi suggeriscono che Sandworm e le forze armate russe avessero obiettivi correlati. Le minacce in continua evoluzione necessitano di un’azienda di sicurezza IT attenta ai fenomeni, minuto per minuto che garantisca un uso sicuro della tecnologia, e i centri di ricerca e sviluppo Eset in tutto il mondo lavorano in questa direzione.
Eset ha individuato una serie di wiper il cui ultimo esemplare ha denominato con il nome Nikowiper. E’ quello utilizzato in Ucraina contro l’azienda del settore energetico cui si faceva riferimento per gli attacchi di ottobre. Si basa su SDelete, dietro il cui nome si cela una semplice utility di Microsoft che si attiva a riga di comando e che serve per l’eliminazione sicura dei file.
Oltre al malware che cancella i dati, Eset ha scoperto altri attacchi Sandworm che utilizzano ransomware come wiper. In questi altri attacchi sebbene sia stato utilizzato un ransomware, l’obiettivo finale era lo stesso dei wiper, quindi la distruzione dei dati per cui gli operatori di Sandworm non hanno inteso fornire in questi casi alcuna chiave di decrittazione.
Sempre in ottobre, e di fatto nello stesso orizzonte geografico, Eset ha individuato il ransomware Prestige, sfruttato contro aziende di logistica in Ucraina e Polonia. E’ di novembre invece la scoperta di un nuovo ransomware in Ucraina, scritto in .Net e denominato RansomBoggs, mentre, oltre a Sandworm, anche altri gruppi Apt russi come Callisto e Gamaredon hanno continuato le loro campagne di spear phishing contro l’Ucraina sottraendo credenziali.
L’analisi di Eset registra anche il cambiamento di target di alcuni gruppi allineati alla Cina, per esempio riguardo l’attività di Goblin Panda che ha spostato il proprio interesse verso i medesimi obiettivi di Mustang Panda nei Paesi europei – tra cui per esempio l’utilizzo di un loader, Korplug, utilizzato contro un’organizzazione del settore energetico e ingegneristico svizzero – ed una campagna di spear phishing da parte di Mirrorface contro entità politiche giapponesi.
Più nel dettaglio, a novembre Eset ha scoperto una nuova backdoor di Goblin Panda, denominata Turboslate, in un’organizzazione governativa dell’Unione Europea. Eset segnala inoltre l’attività dei gruppi affiliati all’Iran che, oltre alle aziende israeliane, con Polonium, hanno iniziato a colpire anche le filiali estere di aziende israeliane, mentre Muddywater ha probabilmente compromesso un managed security service provider.
Ultimo rilievo che merita di essere citato dal report riguarda l’attività dei gruppi vicini alla Corea del Nord che hanno utilizzato exploit già conosciuti per compromettere società e scambi di criptovalute in varie parti del mondo. A questo riguardo il report sottolinea gli “aggiornamenti” di Konni che ha ampliato il repertorio di lingue utilizzate nei documenti esca includendo l’inglese, una mossa che può quindi significare l’intenzione di utilizzarlo per puntare non solo ai soliti obiettivi russi e sudcoreani.
© RIPRODUZIONE RISERVATA
