Le Apt, minacce avanzate persistenti, trovano casa in Medio Oriente e Corea del Sud. Lo rivela il report trimestrale di Kaspersky, secondo cui gran parte degli attacchi si sono concentrati su attività di cyber-spionaggio o attività volte ad ottenere un profitto economico. Almeno una delle campagne rilevate era, invece, destinata a diffondere notizie false.
Entrando nel dettaglio, si tratta di attività messe a punto da noti criminali informatici di lingua persiana quali OilRig e MuddyWater. Tra queste attività sono state rilevate la fuga di notizie online relative ad asset quali codici, infrastrutture, dettagli sul gruppo e le presunte vittime. Le fughe di notizie provenivano da fonti diverse ma sono state diffuse nel giro di poche settimane l’una dall’altra.
Un’altra fuga di notizie online, che ha diffuso informazioni relative a un’entità chiamata “Rana institute”, è stata pubblicata in lingua persiana su un sito web chiamato “Hidden Reality”. L’analisi effettuata dai ricercatori di Kaspersky su materiali, infrastrutture e sul sito web dedicato che è stato utilizzato, ha portato alla conclusione che questa fuga di notizie potesse essere collegata al gruppo criminale Hades. Hades è lo stesso gruppo criminale artefice dell’incidente OlympicDestroyer che ha preso di mira i Giochi Olimpici Invernali del 2018, così come il worm ExPetr e le varie campagne di disinformazione come la fuga di email relative alla campagna elettorale presidenziale di Emmanuel Macron in Francia nel 2017.
Tra gli altri punti salienti del report spicca l’attività degli hacker russi che continuano a perfezionare e rilasciare costantemente nuovi strumenti e a lanciare nuove operazioni. Ad esempio, da marzo, Zebrocy sembra aver rivolto la sua attenzione agli eventi, ai funzionari, ai diplomatici e ai militari di Pakistan e India, oltre a mantenere un accesso continuo alle reti locali e remote del governo dell’Asia centrale. Gli attacchi di Turla hanno continuato a presentare un set di strumenti in rapida evoluzione e, in un caso significativo, l’apparente hijacking di infrastrutture appartenenti a OilRig.
L’attività legata alla Corea ha continuato ad essere intensa, mentre il resto dell’Asia sudorientale ha avuto meno attività di questo tipo rispetto ai trimestri precedenti. Tra le operazioni da segnalare va menzionato un attacco del gruppo Lazarus che ha preso di mira una società di mobile gaming in Corea del Sud e una campagna di BlueNoroff, il sottogruppo di Lazarus, che ha preso di mira, invece, una banca situata in Bangladesh e software di crypto-currency.
I ricercatori hanno anche osservato una campagna attiva che prendeva di mira gli enti governativi dell’Asia Centrale perpetrata da un gruppo cinese Apt SixLittleMonkeys, utilizzando una nuova versione del Microcin Trojan e un Rat che Kaspersky chiama HawkEye.
“Il secondo trimestre del 2019 mostra quanto sia diventato confuso e poco chiaro il panorama delle minacce e quanto spesso le cose appaiano diverse dalla realtà. Tra le altre cose, abbiamo avuto modo di osservare un autore delle minacce che ha effettuato l’hijacking di un’infrastruttura di un gruppo più piccolo e abbiamo rilevato un altro gruppo che sfruttava una serie di fughe di notizie online per diffondere disinformazione e minare la credibilità degli asset esposti – spiega Vicente Diaz, Principal Security Researcher, Global Research and Analysis Team, Kaspersky – Chi si occupa di sicurezza non deve farsi ingannare e deve essere in grado di ricostruire i fatti e fare la vera threat intelligence su cui si basa la sicurezza informatica. Come sempre è importante sottolineare che la visibilità che possiamo avere non è completa ed esistono attività che non abbiamo ancora rilevato o non sono state ancora completamente comprese – quindi la protezione contro le minacce note e sconosciute rimane vitale per tutti”.
