Tomiris: una nuova backdoor che (forse) arriva dagli autori dell'attacco a SolarWinds

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...ds_101342.html

Kaspersky ha rivelato di aver scoperto Tomiris, una backdoor che ha molte somiglianze con SunShuttle, lo strumento usato per l'attacco a SolarWinds. L'obiettivo di Tomiris era uno Stato nel gruppo delle repubbliche ex sovietiche

Click sul link per visualizzare la notizia.

[Sandro kensan]

Se hanno attaccato i CSI con risorse che solo gli Stati possono avere sono sicuramente gli Americani dietro questi attacchi. Mi pare altamente probabile che siano gli USA.

Ovviamente nell'articolo non si dice. Se ci fosse un sospetto dulla Russia ci sarebbero i titoli a caratteri cubitali.

Kaspersky ovviamente fa le pulci agli USa come al solito.

[Cfranco]

Quote:

Originariamente inviato da Sandro kensan

Se hanno attaccato i CSI con risorse che solo gli Stati possono avere sono sicuramente gli Americani dietro questi attacchi. Mi pare altamente probabile che siano gli USA.

Peccato che SolarWind sia stato un attacco alle infrastrutture USA
https://securelist.com/sunburst-conn...equests/99862/
Adesso sono passati a qualche paese CSI, tra cui ti ricordo che ce ne sono diversi che non si amano per niente ( Russia e Ucraina ad esempio )

Quote:

Originariamente inviato da Sandro kensan

Ovviamente nell'articolo non si dice. Se ci fosse un sospetto dulla Russia ci sarebbero i titoli a caratteri cubitali.

Quando si mette un paese a caratteri cubitali è perché si fanno scoprire con le mani immerse nella marmellata, ed è successo spesso alla Russia, alla Cina e pure agli USA
La differenza è che se Cina e Russia vengono beccate a spiare in USA i giornali statunitensi ne parlano, se gli USA si fanno beccare in Cina o un Russia nessun giornale locale dice niente.

[Slater91]

Quote:

Originariamente inviato da Sandro kensan

Se hanno attaccato i CSI con risorse che solo gli Stati possono avere sono sicuramente gli Americani dietro questi attacchi. Mi pare altamente probabile che siano gli USA.

Ovviamente nell'articolo non si dice. Se ci fosse un sospetto dulla Russia ci sarebbero i titoli a caratteri cubitali.

Kaspersky ovviamente fa le pulci agli USa come al solito.

"Finally, some small clues found during this investigation indicate with low confidence that the authors of Tomiris could be Russian-speaking."
Non ci sono i titoli a caratteri cubitali perché cerchiamo di dare risalto ai fatti di cui si può avere certezza e non a dubbi e voci. Ti invito a leggere l'articolo di Kaspersky, prima di sentenziare su di loro.

[Sandro kensan]

@Slater. mi metto a leggere.

[Sandro kensan]

Quote:

Originariamente inviato da Slater91

"Finally, some small clues found during this investigation indicate with low confidence that the authors of Tomiris could be Russian-speaking."
Non ci sono i titoli a caratteri cubitali perché cerchiamo di dare risalto ai fatti di cui si può avere certezza e non a dubbi e voci. Ti invito a leggere l'articolo di Kaspersky, prima di sentenziare su di loro.

Ho visto che la scritta per chiedere il download di Tomiris è in cirillico, non mi stupirei se l'autore del malware fosse di lingua russa. Queto non cambia il fatto che gli USA sono tra i principali attori ad avere interesse nello spiare l'associazione di stati CSI.

Per chi non lo sapesse questi sono gli Stati della CSI:

Armenia
Azerbaijan
Belarus
Kazakhstan
Kyrgyzstan
Moldova
Russia
Tajikistan
Uzbekistan

https://en.wikipedia.org/wiki/Common...tes#Membership

Ovviamente non c'è l'Ukraina.

Chi mai può avere interesse a spiare questi Stati? Domanda retorica.

[Sandro kensan]

Dopo avere letto una parte del Blog ho visto che hanno fatto una ridirezione verso un loro server di una web mail la qualche suggeriva di scaricare il malware per questioni di sicurezza «“to continue working with the email service, you need to install a security update: download the update”.»

Ora io con la mia web mail non avrò mai da scaricare pacchetti per la sicurezza e se la mia web mail me lo suggerisse sarei molto sospettoso e mi chiederei se è stata compromessa.

Da una web mail non ci sarà mai da scaricare alcun pacchetto di sicurezza: per la sicurezza o aggiorno il browser o aggiorno il mio S.O.. La web mail non c'èentra con la sicurezza al massimo se ho il server devo aggiornale i pacchetti del Server.

[Slater91]

Quote:

Originariamente inviato da Sandro kensan

Chi mai può avere interesse a spiare questi Stati? Domanda retorica.

Ti chiedo scusa per il ritardo nella risposta. Mi sembra tu faccia un po' di confusione e che basi le tue opinioni su una tua sensazione personale, per antipatia o simpatia verso una o l'altra parte, senza ascoltare invece la ragione. Hai deciso che sono gli USA senza vedere il codice sorgente di Tomiris, senza fare alcuna analisi, e scrivi "Ho visto che la scritta per chiedere il download di Tomiris è in cirillico, non mi stupirei se l'autore del malware fosse di lingua russa" come fosse una prova schiacciante, quando in realtà fai un ragionamento errato: ciò non ha niente a che vedere con l'autore, ma riguarda l'obiettivo della campagna, esattamente come le campagne di phishing che arrivano a me sono in italiano e non nella lingua dell'autore (che, per quanto ne so, potrebbe anche essere polinesiano).
Se degli esperti fanno delle affermazioni dopo aver studiato a fondo un problema, io ho la tendenza a non fare affermazioni contrarie senza prima aver studiato a fondo il problema io stesso perché mi parrebbe altrimenti di apparire arrogante. Mi rendo, però, conto che altri hanno diverse sensibilità e che si comportano dunque diversamente.

[Sandro kensan]

Quote:

Originariamente inviato da Slater91

Ti chiedo scusa per il ritardo nella risposta. Mi sembra tu faccia un po' di confusione e che basi le tue opinioni su una tua sensazione personale, per antipatia o simpatia verso una o l'altra parte, senza ascoltare invece la ragione. Hai deciso che sono gli USA senza vedere il codice sorgente di Tomiris, senza fare alcuna analisi, e scrivi "Ho visto che la scritta per chiedere il download di Tomiris è in cirillico, non mi stupirei se l'autore del malware fosse di lingua russa" come fosse una prova schiacciante, quando in realtà fai un ragionamento errato: ciò non ha niente a che vedere con l'autore, ma riguarda l'obiettivo della campagna, esattamente come le campagne di phishing che arrivano a me sono in italiano e non nella lingua dell'autore (che, per quanto ne so, potrebbe anche essere polinesiano).
Se degli esperti fanno delle affermazioni dopo aver studiato a fondo un problema, io ho la tendenza a non fare affermazioni contrarie senza prima aver studiato a fondo il problema io stesso perché mi parrebbe altrimenti di apparire arrogante. Mi rendo, però, conto che altri hanno diverse sensibilità e che si comportano dunque diversamente.

Certamente non è una prova schiacciante il fatto che ci siano scritte in cirillico ma anche il fatto contrario non mi pare che sia provato in modo schiacciante. Visto che le email con un italiano poco consono, corretto oppure sgrammaticato fanno subito pensare a una email truffaldina è corretto pensare che ci sia stato del personale di lingua russa dentro a questo progetto e che quindi questo si rifletta nella descrizione del ricercatore che ha analizzato l'attacco.

Il ricercatore non individua la nazionalità dell'attacco ma ben diversamente la lingua parlata con basso grado di affidabilità:

«with low confidence that the authors of Tomiris could be Russian-speaking.»

non spiega perché parla di lingua parlata ma è presumibile che tutto quello che sia il contatto con la vittima tramite messaggia sia un punto importante e fatto bene in russo corretto.

[Slater91]

Quote:

Originariamente inviato da Sandro kensan

Certamente non è una prova schiacciante il fatto che ci siano scritte in cirillico ma anche il fatto contrario non mi pare che sia provato in modo schiacciante. Visto che le email con un italiano poco consono, corretto oppure sgrammaticato fanno subito pensare a una email truffaldina è corretto pensare che ci sia stato del personale di lingua russa dentro a questo progetto e che quindi questo si rifletta nella descrizione del ricercatore che ha analizzato l'attacco.

Il ricercatore non individua la nazionalità dell'attacco ma ben diversamente la lingua parlata con basso grado di affidabilità:

«with low confidence that the authors of Tomiris could be Russian-speaking.»

non spiega perché parla di lingua parlata ma è presumibile che tutto quello che sia il contatto con la vittima tramite messaggia sia un punto importante e fatto bene in russo corretto.

Perdonami, ma non cogli affatto il punto. La lingua delle pagine di login non è il motivo per cui Kaspersky pensa che si tratti di persone russofone, lo sono gli errori di compitazione e il modo in cui sono chiamate le variabili nel software. Ribadisco: è la lingua della vittima a definire la lingua utilizzata per il materiale con cui si effettua l'attacco, non quella dell'attaccante. Dal momento che parliamo di un attacco iper-complesso e che aveva come obiettivo degli Stati, è lecito aspettarsi che la lingua usata nelle varie pagine sia corretta; non parliamo del piccolo truffatore che ti ha cifrato il computer e vuole 300 dollari, e che si accontenta della traduzione fatta con Google, ma di un'organizzazione complessa e con accesso a fondi significativi, dunque l'uso di un linguaggio corretto nel materiale è la base di partenza, non un punto di arrivo.
Il motivo per cui i ricercatori parlano di "persone che parlano russo" è perché potrebbe benissimo trattarsi di persone la cui prima lingua è il russo, ma che vivono in Paesi altri rispetto alla Russia stessa; il fatto è che non è possibile, con gli elementi a disposizione, dire esplicitamente che dietro l'attacco ci sia la Russia e per questo ci si limita a parlare della lingua. La ragione per cui scrivono "con una bassa certezza" è perché non ci sono elementi "definitivi" che fanno pensare che certamente si tratti di russofoni, ma solo piccoli indizi qui e lì che fanno, però, venire il sospetto.