Il ritorno di Olympic Destroyer che si diffonde con lo spear-phishing

SicurezzaVirus

Il gruppo di hacker in azione durante l’apertura dei Giochi Olimpici Invernali di Pyeongchang è ancora attivo. I nuovi obiettivi di Olympic Destroyer sono i Paesi Europei e la Russia

Olympic Destroyer è una minaccia avanzata balzata agli onori della cronaca in occasione dei Giochi Olimpici Invernali 2018. All’epoca ha colpito gli organizzatori, i fornitori e i partner della manifestazione di Pyeongchang, in Corea del Sud. Si trattava di un’operazione di cyber sabotaggio basata su un worm di rete distruttivo.

Le indicazioni riguardo le origini dell’attacco erano confuse, ma alcuni dettagli, rari e sofisticati, scoperti da Kaspersky Lab hanno suggerito che il gruppo dietro l’operazione fosse Lazarus: un noto gruppo di hacker legato alla Corea del Nord. Tuttavia, a marzo, gli esperti di Kaspersky Lab hanno affermato che si trattava di un caso di false flag, ed era improbabile che Lazarus ne fosse l’artefice. La notizia oggi è che l’operazione Olympic Destroyer è di nuovo attiva, e sta utilizzando alcuni dei suoi strumenti originali di infiltrazione , ma con obiettivi in Europa, specialmente nell’Europa dell’Est in Russia e Ucraina, in ogni caso sotto attacco ci sono anche Francia, Germania, Svizzera, Paesi Bassi.

Nell’attacco precedente, durante i Giochi Olimpici Invernali, l’inizio della fase di ricognizione è stata un paio di mesi prima dell’epidemia del worm di rete distruttivo automodificante. Ora è possibile che Olympic Destroyer stia preparando un attacco simile con nuovi obiettivi: e questo è il motivo per cui Kaspersky consiglia agli enti di ricerca sulle minacce biologiche e chimiche di rimanere in allerta e avviare controlli aggiuntivi di sicurezza.

Infografica Kaspersky Lab su Olympic Destroyer
Infografica Kaspersky Lab su Olympic Destroyer

Gli attaccanti stanno diffondendo il proprio malware attraverso documenti di spear-phishing che assomigliano molto ai documenti utilizzati nella preparazione delle operazioni delle Olimpiadi Invernali. Uno di questi  faceva riferimento alla “Spiez Convergence”, una conferenza sulle minacce biochimiche tenutasi in Svizzera e organizzata dallo Spiez Laboratory, un’organizzazione che ha svolto un ruolo chiave nell’inchiesta dedicata all’attacco di Salisbury.

Un altro documento era destinato ad un ente dell’autorità di controllo sanitario e veterinario dell’Ucraina. I documenti di spear-phishing scoperti dai ricercatori tradiscono la loro provenienza e offrono alcuni indizi perché contengono parole in russo e tedesco. Kaspersky inoltre ha indagato come tutti i payload finali estratti dai documenti dannosi siano stati progettati per fornire accesso generico ai computer compromessi e afferma che per la seconda fase dell’attacco è stato utilizzato un framework open source e gratuito, noto come Powershell Empire.

Gli aggressori utilizzano webserver legittimi compromessi per ospitare e controllare il malware. Questi server utilizzano un noto sistema di gestione dei contenuti open source (CMS) chiamato Joomla. Per esempio uno dei server che ospita il payload dannoso utilizzava una versione di Joomla (v1.7.3) rilasciata a novembre 2011, una variante molto obsoleta del CMS, che probabilmente ha semplificato la scelta degli hacker per attaccare i server.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore