Digital Trends

StrongPity APT: Cyber spie prendono di mira italiani e belgi

Cyber security

Sempre più spesso parliamo di minacce informatiche e hacker riferendo loro come entità lontane dal nostro vissuto quotidiano ed impossibilitate ad arrecare seri danni alle nostre imprese e agli utenti in rete. Niente di più sbagliato: viviamo giorni in cui il numero di attacchi informatici contro le nostre organizzazioni è in costante aumento, e purtroppo tali minacce sono sempre più sofisticate, al punto che spesso ci si accorge della loro presenza quando il danno è diventato ingente.

Oggi vi parlo di un’operazione di spionaggio informatico che ha preso di mira molti utenti italiani in rete.

Gli esperti dell’azienda Kaspersky Lab hanno pubblicato un rapporto dettagliato sulle attività di spionaggio condotte da un gruppo noto come APT. Il termine APT è utilizzato per identificare minacce persistenti ed avanzate, quindi di gruppi dalle spiccate capacità offensive che dispone di notevoli risorse tecniche e talvolta finanziarie.

StrongPity si distingue per la complessità delle sue operazioni e per la modalità operativa; gli esperti hanno scoperto che si specializza in attacchi noti come “Watering Hole,” ovvero attacchi in cui sono compromessi siti web di elevato interesse per specifiche platee di utenti. In questo modo gli attaccanti sono in grado di servire agli ignari visitatori dei siti web malware che sono inoculati sfruttando falle nelle principali applicazioni, come i web browser.

StrongPity, particolarmente attivo in Europa, Medio Oriente e Nord Africa, ha preso di mira gli utenti Internet interessati a software per la cifratura delle informazioni e la protezione delle connessioni.

Gli esperti hanno scoperto che il gruppo ha messo in piedi il sito ralrab.com allo scopo di imitare il sito legittimo rarlab.com legittimo. Tale sito è stato utilizzato per ospitare codici malevoli che venivano distribuiti ai visitatori. Molto spesso sono offerte ai visitatori copie di popolari software infettate da codici malevoli.

Tra le numerose campagne condotte dal gruppo StrongPity ve ne sono state due particolarmente efficaci in cui gli hacker hanno fruttato l’interesse nelle popolari applicazioni TrueCrypt (software per la cifratura di file, cartelle e volumi) e (per la compressione di file ed archivi).

Anche in questo caso il gruppo ha utilizzato siti esca che riproducevano quelli legittimi utilizzati per la distribuzione dei software sopra riportati.

Gli utenti italiani sono stati coinvolti principalmente per la campagna che ha sfruttato una variante infetta dell’applicazione WinRAR. Kaspersky ha scoperto che una versione infetta del popolare software era stata distribuita attraverso il sito legittimo di un distributore nazionale utilizzante il dominio winrar.it.
StrongPity – Distribuzione geografica delle vittime della campagna “Winrar”
Secondo Kaspersky il gruppo StrongPity dispone di malware complessi nel proprio arsenale, applicazioni in grado di ottenere il controllo completo del sistema infetto e di ‘esfiltrare’ dati sensibili.

graficokasper

Secondo Kaspersky a partire dal 2016 sono stati infettati oltre 1.000 sistemi con i software del gruppo StrongPity. Il numero maggiore di vittime è stato osservato in Italia, Turchia, Belgio, Algeria, e la Francia.

Tra i software esca utilizzati dal gruppo vi sono popolari applicazioni come Putty e FileZilla.

Il ricercatore Kurt Baumgartner di Kaspersky ha evidenziato le similitudini nel modus operandi di StrongPity con quello di un altro gruppo russo noto come Dragonfly o Energy Bear a cui sono stati attribuiti numerosi attacchi in passato.

Difendersi da questi attacchi è molto difficile per gli utenti in rete che ignorano questa tipologia di minaccia. Ogni volta che si scarica un software dalla rete è bene farlo da siti certificati e prestando molta attenzione all’impronta del file che si scarica, consapevoli che qualcuno potrebbe averli intenzionalmente compromessi.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This