Petrolio e hacker: inviati malware alle compagnie produttrici per sfruttare la crisi

Petrolio e hacker: inviati malware alle compagnie produttrici per sfruttare la crisi

Nelle settimane precedenti all'accordo OPEC+ due campagne mirate hanno cercato di sottrarre informazioni riservate. Ad ora non si conosce l'attore di minaccia e lo scopo ultimo delle campagne

di pubblicata il , alle 17:41 nel canale Sicurezza
Bitdefender
 

Nel bel mezzo della crisi petrolifera che ha investito i mercati nelle scorse settimane e che ancora non sta trovando soluzione, come testimoniato dai prezzi negativi raggiunti nei giorni scorsi dal contratto future di maggio avente il greggio WTI come sottostante (letteralmente: un minimo di -40$ nella serata del 20 aprile), gli hacker hanno trovato proprio nelle compagnie produttrici un bersaglio strategico.

E' la società di sicurezza Bitdefender che racconta una vicenda piuttosto interessante che risale alle scorse settimane quando il settore petrolifero e i principali paesi produttori si trovavano impegnati nelle trattative che hanno poi portato il 12 aprile alla decisione storica dell'OPEC+ di tagliare la produzione di petrolio di 9,7 milioni di barili al giorno nei mesi di maggio e giugno, come tentativo di rsispondere alla contrazione della domanda verificatasi a seguito delle misure di quarantena e distanziamento sociale adottate in tutto il mondo per combattere la diffusione della pandemia COVID-19.

Bitdefender ha individuato due campagne di spearphishing (un attacco/truffa che prevede l'invio di una comunicazione elettronica che ha lo scopo di sottrarre dati o installare malware; la particolarità è inviare un messaggio fingendo di essere un mittente credibile e autorevole) che ha preso di mira società operanti nel settore energetico e dell' oil & gas con l'obiettivo di installare un trojan per intercettare dati e comunicazioni riservate. L'aspetto rilevante di entrambe le campagne è la cura con cui sono stati costruiti i messaggi email veicolo dell'attacco: non sono infatti stati rilevati errori di battitura o grammaticali che spesso sono il tratto distintivo di questo genere di campagne, e i contenuti delle due mail presentano elementi del tutto coerenti, attendibili e noti a chi opera nel settore petrolifero.


Fonte: Bitdefender

La prima delle due campagne è stata riscontrata lo scorso 31 marzo, con una email inviata da un mittente che ha preso le sembianze di Engineering for Petroleum and Process Industries (Enppi), società statale egiziana. All'interno della mail l'invito, per il destinatario, a formulare un'offerta per attrezzatura e materiali nel contesto di un reale progetto in corso, il Rosetta Sharing Facilites Project, a nome di Burullus, una joint-venture nel settore del gas che è partecipata a sua volta da un'altra società statale Egiziana. All'interno della mail vi erano poi due allegati, mascherati da dettagli sulle condizioni dell'offerta e moduli da compilare. Destinatari della mail sono stati 150 compagnie del settore oil & gas: un numero piuttosto circoscritto che dimostra una selezione accurata dei bersagli, al contrario di quelle campagne di phishing di massa che inviano in maniera indiscriminata messaggi contraffatti a decine di migliaia di indirizzi email.


Fonte: Bitdefender

Una seconda campagna, ancor più mirata, si è consumata invece proprio nella giornata del 12 aprile, questa volta indirizzata a società operanti nel settore dei trasporti marittimi con legami sempre al settore petrolifero ed energetico. In questa email viene inviata una richiesta per compilare un documento necessario per le operazioni della nave cisterna MT Sinar Maluku, che è effettivamente esistente e batte bandiera Indonesiana e ha lasciato il suo porto proprio il 12 aprile per raggiungere la destinazione due giorni più tardi. Questa email è stata inviata a 18 compagnie, 15 delle quali operanti appunto nel settore dei trasporti nelle Filippine.


La nave cisterna MT Sinar Maluku, fonte: Vesseltracker

Entrambe le campagne sono accomunate da un importante elemento, che lascia facilmente supporre che la mano dietro ad esse possa essere la medesima: negli allegati si cela Agent Tesla, un malware-as-a-service che propone un listino prezzi molto vario sulla base dei diversi modelli di licenza. Si tratta di un trojan in circolazione sin dal 2014 e che offre svariate funzionalità, tra tecniche stealth, di persistenza e di evasione di sicurezza, sottrazione di credenziali, furto di dati, copia dello schermo e keylogging. Bitdefender osserva che Agent Tesla, per quanto già usato in svariate campagne, non è mai stato usato per prendere di mira in maniera specifica realtà legate al settore petrolifero.


I Paesi colpiti dalla campagna del 31 marzo. Fonte: Bitdefender

Settore petrolifero, ma in generale quello energetico, che non è certo la prima volta che si trova al centro di campagne di hacking. Lo scorso anno è stato oggetto di un consistente numero di attacchi, e da settembre il trend è cresciuto a cadenza mensile raggiungendo a febbraio un picco di oltre 5000 casi. Dall'inizio dell'anno si sono registrati già 13 mila attacchi rivolti a realtà del settore energetico.

Il malware utilizzato non è particolarmente sofisticato e sicuramente non al livello di quelli utilizzati di norma negli attacchi mirati verso bersaglio di alto livello ma nonostante ciò il fatto che ben due campagne di questo tipo siano state orchestrate ed eseguite proprio nella specifica finestra temporale precedente alla decisione dell'OPEC+ suggerisce certamente non una casualità ma una motivazione e un interesse nel conoscere in maniera specifica come determinati paesi fossero orientati nell'affrontare la crisi petrolifera. Lo scopo? Difficile a dirsi, ma la volontà di conoscere in anticipo informazioni chiave in situazioni di questo tipo potrebbe essere dettato dall'interesse di condizionare la trattativa stessa o per effettuare operazioni di speculazione godendo di un vantaggio di asimmetria informativa.

Le due campagne su cui ha fatto luce Bitdefender sono un ottimo esempio per comprendere come gli attacchi phishing restino uno dei modi più efficaci perché gli attori d'attacco riescano a mettere il primo "piede nella porta" delle realtà prese di mira, nonostante la crescente consapevolezza che si sta diffondendo su questo genere di minacce. Del resto se le email di phishing riescono continuano a mietere vittime anche quando contengono errori grammaticali, di battitura o elementi "fuori posto", non c'è da stupirsi che abbiano successo quando i contenuti risultano particolarmente curati come si è verificato in queste vicende.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
phmk23 Aprile 2020, 17:34 #1

Basta lamentarsi del prezzo basso del petrolio...

Dovremmo piantarla di chiamarla crisi petrolifera.
Quando costava oltre 120 $/barile molti si strappavano i capelli perchè era una "vera" catastrofe, ora che è sotto i 30 (chi lo avrebbe mai detto?) gli stessi si strappano i capelli per il motivo opposto, dimenticando che per una nazione manufatturiera e consumatrice di petrolio come l'Italia questo dato fa solo MOLTO e MOLTO BENE.
Sarebbe ora di dirlo chiaro e forte una volta per tutte, o si preferiscono i 120 $ / barile ?
D'accordo che lo stato ci guadagna meno con le tasse, però per il consumatore è solo e soltanto un bene. Quindi, almeno per questo smettiamo una volta per tutte di disperarci, se ci staremo dentro con il monstre-debito il merito sarà anche un pò per questo prezzo bassissimo ..
Mparlav23 Aprile 2020, 18:59 #2
Di fatto è una crisi petrolifera mondiale.

Il fatto che l'Italia non sia un esportatore e solo un piccolo produttore a uso interno, non la rende meno grave per tutti gli altri.

Di contro molti Paesi produttori di petrolio potrebbero fregarsene della crisi turistica mondiale, ma a noi la cosa "tocca" parecchio.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^