Embedded Agency >

CYBER-SPIONAGGIO: Russia Vs. + Stati

Un software dannoso ha infiltrato i sistemi informatici di decine di Ambasciate appartenenti a nazioni dell'ex blocco sovietico ha tutte le caratteristiche di uno stato-nazione” l’operazione di cyber-spionaggio, questo secondo i ricercatori della Symantec. Il malware è stato localizzato  la settimana scorsa ed individuato sono da 48 ore con target specifici nelle ambasciate dei paesi ex comunisti situati nell’area dell’estremo oriente ed i paesi baltici. Risulta attaccata anche la Giordania. Nel report pubblicato sul suo sito web di Symantec si è dichiarato che solo uno stato-nazione” può avere i fondi e risorse tecniche per creare un malware di tale complessità. Inoltre, il malware sembra essere progettato “per andare oltre le reti di governo pubbliche che non sono facili da trovare”, questo quanto dichiarato nella relazione di un anziano ricercatore della sicurezza  Vikram Thakur.

L'infiltrazione si verifica in due fasi. Nella prima fase, il computer è stato infettato da un programma di ricognizione, conosciuta come Wipbot. L'infezione iniziale si verifica in genere attraverso un attacco di phishing diretto o tramite un sito Web compromesso. Il Wipbot poi conduce una esplorazione iniziale del sistema infetto, la raccolta di informazioni vitali sulla sua identità, struttura e contenuti. Si procede poi a compromessi solo se corrisponde a un indirizzo Internet specifico che si sta cercando. Se una partita di dati viene confermata, il Wipbot, in seguito, invita un secondo programma nel sistema compromesso, il cui compito è di espropriare i dati e trapelare in blocchi che si mimetizzano come richieste del browser Internet. Secondo il report di Symantec le similitudini tecniche tra i due programmi sono sufficienti a giustificare l'opinione che sono stati progettati e sviluppati da programmatori che lavorano per la stessa Agenzia governativa. Thakur ha riferito che la struttura del malware è particolarmente creativo; utilizza Wipbot come strumento di ricognizione iniziale prima di consegnare il programma exfiltration solo se giudica che il sistema compromesso è di interesse abbastanza alto. Il Report Symantec aggiunge che il malware in questione fa parte di un una serie di attacchi esistente già da quattro anni che hanno sistematicamente di mira strutture di governo appartenenti a Stati dell'ex blocco comunista. Nel maggio del 2012, una di malware simile è stato trovato per avere infiltrato oltre 60 diversi sistemi di computer appartenenti alla Lettonia, tra cui l'ufficio del Primo Ministro. Un attacco mirato strettamente legato all'Ambasciata dell’Uzbekistn a Parigi, così come i suoi ministeri degli affari esteri ed interni. La ricerca Symantec sottolinea che molti dei componenti principali del programma dannoso sono stati compilati nel fuso orario UTC + 4, che comprende città russe come Mosca e San Pietroburgo, laddove sono presenti le Centrali dei servizi d’intelligence federale FSB e militare GRU.

15.08.2014

Gavino Raoul Piras