[news] Gli hacker del commercio scovati dal Kaspersky Lab

[xcdegasp]

Sono mercenari informatici che utilizzano un tipo di attacco Apt chiamato Icefog. Sabotano le comunicazioni con Corea del Sud Giappone per disturbare il traffico commerciale
26 settembre 2013 di Riccardo Meggiato



Il Kaspersky Lab, il centro di ricerca del noto produttore di antivirus, ha annunciato la scoperta di Icefog. Che non si tratta, lo chiarisco subito, di una bibita rinfrescante o un rapper di grido, ma di un nuovo tipo di Apt (Advanced Persistent Threat). Per Apt si intende un gruppo di hacker (più raraente un singolo individuo) che attacca, sistematicamente, uno o una serie di specifici obiettivi. Nel caso di Icefog, i bersagli sono due: Corea del Sud e Giappone. Lo scopo? Disturbare i traffici commerciali con l’occidente.


Di per sé, una campagna di questo tipo, diluita nel tempo (pare che Icefog sia in corso dal 2011), non è una novità. Due, però, sono i tratti distintivi di Icefog. Il primo è la modalità degli attacchi, di tipo Hit & Run (colpisci e scappa). Una serie di piccoli ma numerosi attacchi perpetrati con precisione chirurgica, tendenza che si sta diffondendo col passare del tempo, in questo settore. La seconda caratteristica è che questi attacchi sono sferrati da mercenari della criminalità informatica. Quindi, in buona sostanza, l’Apt viene coordinato da una struttura organizzata, e dalle ingenti disponibilità economiche, che figura solo, o quasi, come mandante.

Costantin Raiu, direttore del Global Research and Analysis Team di Kaspersky Lab, contattato per l’occasione, racconta: "La natura mercenaria degli attacchi rende difficile identificare chi li esegue. I dati rubati potrebbero essere convertiti in denaro o usati per azioni di cyber-spionaggio. Per questo, potrebbe trattarsi di un’operazione portata avanti da uno stato, come una perpetrata per motivi finanziari".

Ma se la strategia è sabotare le comunicazioni tra Est o Ovest, quali sono gli obiettivi scelti per farlo? Dalle indagini del Kaspersky Lab, emerge che quelli primari hanno a che fare con i sistemi militari, marittimi, satellitari, di ricerca e media. Un potpourri bersagliato in modo costante, con continui furti di documenti, accessi non autorizzati ai servizi di posta elettronica, furto di account e password varie e assortite. Immaginatevi cosa può significare, tanto per dire, se dei criminali informatici riescono a leggere - e sabotare - la posta elettronica di una grossa compagnia marittima, che opera tra Giappone ed Europa. Per riuscire nell’intento, i cattivi di turno utilizzano un set di malware realizzato ad hoc, denominato, appunto, Icefog o Fucobha. Tuttavia, a differenza di altri Apt, una volta sferrata un’azione di spionaggio o sabotaggio, Icefog passa alla vittima successiva, anziché rimanere latente in ogni obiettivo raggiunto. E questo lo rende più difficile da studiare. I Kaspersky Lab sono riusciti a farlo analizzando, di nascosto (in gergo sinkholing), 13 dei 70 siti utilizzati dai criminali informatici per i loro attacchi.

Raiu aggiunge: "Stiamo investigando sulle attività di questo gruppo dall’estate 2011, quando gli attacchi a organi politici del Giappone divennero pubblici. Più tardi abbiamo scoperto una “vecchia” versione del malware di Icefog utilizzata per questi attacchi. Era in grado di spedire i dati rubati via e-mail".

E così è saltato fuori anche che, oltre a Giappone e Corea del Sud, l’Apt è portato avanti anche con Taiwan, Hong Kong e Cina. Il lavoro per le aziende di sicurezza, in questo periodo, non manca di sicuro: ora sapete dove spedire il curriculum.



Fonte: daily.wired.it
Questa opera è distribuita secondo le regole di Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License

[xcdegasp]

Icefog, individuata una struttura di cyber mercenari su macitynet.it


Kaspersky Lab annuncia “Icefog”: una nuova campagna di spionaggio informatico su datamanager.it