da Hardware Upgrade :
ESET ha pubblicato lultimo Report sulle attivit dei gruppi APT (Advanced Persistent Threat) presi in analisi dai ricercatori tra aprile e settembre di questanno. La compagnia continua ad analizzare tutte le attivit riconducibili alla sfera della cybersicurezza nell’ambito del conflitto tra Russia e Ucraina mentre nuove campagne dei gruppi filo-cinesi sono state riscontrate in Unione Europea.
Cosa vuol dire APT (Advanced Persistent Threat)?
Con APT si intende una classe di minacce informatiche altamente sofisticate e mirate. Le APT sono spesso associate a attacchi informatici condotti da gruppi o entit altamente competenti e determinate, come governi stranieri, organizzazioni criminali avanzate o hacker molto abili. Queste minacce sono “persistenti” nel senso che sono in grado di rimanere nascoste e attive all’interno di una rete o di un sistema per lunghi periodi di tempo, spesso senza essere rilevate.
In particolare, ESET Research ha osservato diversi gruppi APT che sfruttano vulnerabilit note per esfiltrare dati da enti governativi o organizzazioni correlate. Il report analizza le campagne persistenti dei gruppi allineati alla Cina nell’Unione Europea e l’evoluzione della cyber-war della Russia in Ucraina che dal sabotaggio si spinge verso lo spionaggio.
L’azienda con sede a Bratislava, che in questi giorni tiene una serie di conferenze sullo stato dell’arte della sicurezza e delle minacce informatiche organizzata ad Atene con il nome di TECH4GOOD, ha analizzato come sono state sfruttate le vulnerabilit di WinRAR dei server Microsoft Exchange e IIS, mentre ha scoperto nuovi gruppi vicini alla Cina. Quello che riguarda le APT solamente uno dei tanti argomenti che ESET sta affrontando in occasione di TECH4GOOD, evento a cui la redazione di Hardware Upgrade sta partecipando e sul quale pubblicheremo ulteriori approfondimenti nei prossimi giorni.
Sednit e Sandworm, filo-russi, Konni, allineato alla Corea del Nord, e Winter Vivern e SturgeonPhisher, geograficamente non attribuibili, hanno colto l’opportunit di sfruttare le vulnerabilit di WinRAR (Sednit, SturgeonPhisher e Konni), Roundcube (Sednit e Winter Vivern), Zimbra (Winter Vivern) e Outlook per Windows (Sednit) per colpire varie organizzazioni governative, non solo in Ucraina ma anche in Europa e in Asia centrale.
Secondo i report di ESET, gli attacchi contro le istituzioni e il settore energetico in Ucraina erano molto diluiti prima dell’inizio del conflitto risalente a febbraio 2022, mentre intensa attivit stata riscontrata subito dopo. HermeticWiper e HermeticRansom, nello specifico, sono due tool entrati in azione il 23 febbraio 2022 poche ore dopo l’inizio delle azioni militari, mentre AcidRain e IsaacWiper risalgono al giorno dopo e CaddyWiper stato scoperto il 14 marzo. L’8 aprile, invece, si verificato uno dei pi significativi attacchi tra quelli riconducibili al conflitto con lo strumento identificato con il nome di ArguePatch.
Un’altra campagna wiper partita a ottobre 2022 (NikoWiper) e ha colpito il settore energetico, mentre il ransomware conosciuto con il nome di Prestige ha colpito pi di 100 sistemi e compagnie che si occupano di logistica, non solo in Ucraina ma anche in Polonia. Nel 2023 Sandworm, che uno dei gruppi APT pi attivi, ha adottato una tattica pi semplificata contro attivit legate allo stato della Georgia.
Ciascuno di questi gruppi, inoltre, differisce per modus operandi e per il tipo di tool adottato, oltre che per i bersagli. La cybergang russa Gamaredon, ad esempio, un grosso problema per l’Ucraina, associabile all’FSB, Servizio federale per la sicurezza della Federazione Russa. Secondo gli studi di ESET, manca in sofisticazione ma compensa in volume di attacchi, ed la prima arma di spionaggio contro i target governativi dell’Ucraina. La sua attivit risulta in incremento dal 2014 (anno in cui sono effettivamente iniziate le ostilit tra Russia e Ucraina) e corrisponde a un aumento delle attivit dell’FSB. InvisiMole invece attribuito a SVR (Servizio informazioni estero), mentre Sednit, il pi longevo di questi gruppi, al GRU (Direzione generale per le informazioni militari).
Meno attacchi wiper sono stati riscontrati nel 2023 rispetto al 2022 ma il cyberspionaggio continua e acquisisce priorit nelle strategie di attacco militari. L’Ucraina il principale bersaglio dei gruppi APT russi ma anche altre nazioni UE/NATO rappresentano dei bersagli, mentre anche la Bielorussia, come recentemente rivelato, ha le sue capacit.
interessante notare che mentre altri gruppi – come Gamaredon, GREF e SturgeonPhisher – hanno come obiettivo gli utenti di Telegram per cercare di esfiltrare informazioni, o almeno alcuni metadati relativi a Telegram, Sandworm utilizza attivamente questo servizio al fine di pubblicizzare le proprie operazioni di cybersabotaggio. Gamaredon, inoltre, ha migliorato in modo significativo le proprie capacit di raccolta dati, rielaborando gli strumenti esistenti e implementandone di nuovi.
Per quanto riguarda gli attori delle minacce affiliati alla Cina, GALLIUM ha probabilmente sfruttato le vulnerabilit dei server Microsoft Exchange o IIS, estendendo il proprio obiettivo dagli operatori di telecomunicazioni a organizzazioni governative di tutto il mondo. MirrorFace ha probabilmente approfittato di falle del servizio di archiviazione online Proself e TA410 si presume abbia sfruttato le vulnerabilit del server applicativo Adobe ColdFusion.
I gruppi allineati all’Iran e al Medio Oriente hanno continuato a operare a pieno ritmo, concentrandosi principalmente sullo spionaggio e sul furto di dati da organizzazioni presenti in Israele. In particolare, MuddyWater, affiliato all’Iran, ha preso di mira anche un bersaglio di cui non si conosce lidentit in Arabia Saudita, distribuendo un payload che fa pensare alla possibilit che lautore dellattacco serva come team di sviluppo per un gruppo pi avanzato.
I gruppi allineati alla Corea del Nord hanno continuato a concentrarsi sul Giappone, sulla Corea del Sud e sulle organizzazioni presenti nel Paese, utilizzando e-mail di spear phishing accuratamente realizzate. Lo schema Lazarus pi attivo osservato rappresentato dall’Operazione DreamJob, che ha attirato gli obiettivi con false offerte di lavoro per posizioni remunerative. Questo gruppo ha dimostrato di essere in grado di creare malware per tutte le principali piattaforme desktop.
Infine, i ricercatori di ESET hanno scoperto le attivit di tre gruppi precedentemente non identificati allineati alla Cina: DigitalRecyclers, che ha ripetutamente compromesso un’organizzazione governativa nell’UE; TheWizards, che ha condotto attacchi adversary-in-the-middle e PerplexedGoblin, che ha preso di mira un’altra organizzazione governativa nell’UE. Per ulteriori informazioni tecniche, consultare la versione integrale dellESET APT Activity Report su WeLiveSecurity.
Le APT di solito cercano di ottenere accesso non autorizzato a informazioni sensibili, come dati governativi, segreti commerciali o informazioni personali. Per raggiungere i loro obiettivi, spesso utilizzano una serie di tecniche sofisticate, tra cui il phishing mirato, l’ingegneria sociale, l’uso di malware personalizzato e molto altro.
Le organizzazioni devono prendere misure di sicurezza avanzate per proteggersi dalle APT, che possono essere molto difficili da rilevare e contrastare. Ci include l’implementazione di politiche di sicurezza robuste, l’addestramento del personale e l’uso di soluzioni di sicurezza avanzate per rilevare e rispondere alle minacce informatiche. Vale la pena poi sottolineare che le attivit riscontrate da ESET sono quelle legate ai gruppi che tiene sotto controllo, mentre molte pi attivit di tipo APT si verificano periodicamente in tutto il mondo.