L’analisi di Kaspersky Lab sulle minacce del secondo trimestre 2018

Continuando nella serie di webinar dedicati a evidenziare quali siano state le principali minacce da parte di hacker a danno dei sistemi informativi pubblici e privati, l’azienda esamina il 2° Q 2018

Affidato ancora una volta a Costin G. Raiu e Vicente Diaz, entrambi appartenenti al Global Research & Analysis Team (GreAT) di Kaspersky Lab, il rapporto sulle minacce APT (Advanced Persistent Threat) del secondo trimestre 2018 parte da un’analisi sugli attori che hanno dato origine agli eventi APT dell’ultimo periodo, e di cui sono oltre 100 quelli che Kaspersky analizza con continuità. «L’analisi delle attività passate ci aiuta a comprendere le evoluzioni, soprattutto per quanto riguarda gli attori più sofisticati – spiega Diaz –, inoltre riusciamo a ottenere un quadro complessivo di come stia cambiando il panorama delle minacce».

Alcuni degli hacker più noti, come quelli appartenenti ai gruppi Lazarus, BlueNoroff e Andariel hanno avuto un’evoluzione legata al forte cambiamento della situazione geopolitica (firma dell’accordo di pace tra Corea del  Nord e Corea del Sud). Inoltre, molti attacchi motivati da scopi esclusivamente finanziari continuano a colpire interi Stati, com’è successo di recente in Turchia (l’attacco Bankshot a banche, riportato da McAfee), in Sud America (casinò, scoperto da ESET e seguito da un attacco distruttivo) e in Asia (istituzioni finanziarie, scoperto da Kaspersky). «Molti degli attacchi recenti hanno coinvolto il malware Manuscrypt, originato dal gruppo Lazarus, di cui sono state diffuse nuove versioni quali Typeframe (segnalato in giugno dallo Us Cert) e di cui era nota una versione precedente chiamata FallChill». Anche i gruppi Scarcruft e DarkHotel sono stati molto attivi ultimamente, dopo l’attacco 0-day che ha colpito la Corea del Sud in gennaio, nel Q2, utilizzando malware Android e una nuova backdoor (Poorweb).

Leggi anche:  Il Giappone pensa a un sistema di voto blockchain

«Pensiamo che l’Apt Scarcruft, noto anche come Group 123 o Reaper – aggiunge Raiu -, stia crescendo e sia uno degli attori da tenere sotto controllo costante».  Nonostante un certo grado di sovrapposizione tra Scarcrcuft e DarkHotel, il primo colpisce soprattutto la Corea del Sud, mentre il secondo ha come target la Cina. Un altro attore primario del Q2 è stato LuckyMouse (noto anche come APT27 O Emissary Panda), che ha colpito data center nazionali in Asia, inserendo waterhole in siti web di alto profilo. Sorprendente è stata l’attività recente di attacchi alla Mongolia, partiti da paesi di lingua Cinese, per cui Kaspersky in questo momento non è in grado di dare una giustificazione immediata.

Campagna VPNFilter e altri Apt

Una serie di attacchi concertati, o almeno così sembra, ha colpito sistemi di rete in praticamente tutti i Paesi. Scoperto da CiscoTalos, questo evento è stato destinato a oltre mezzo millione di hardware di rete domestico e storage in tutto il mondo. Con questo attacco è stato iniettato traffico nei computer collegati all’hardware di rete. Secondo l’Fbi, i colpevoli vanno ricercati tra Sofacy e/o Sandworm (responsabili anche di BlackEnergy Apt). «Questo tipo di attacchi sottolinea l’importanza della protezione dei dispositivi di rete», aggiunge Diaz. Un altro attore importante del periodo è Turla (noto anche come Uroburos o Snake), che ha lanciato l’attacco LightNeuron, diretto agli Exchange Server per intercettare email o inviare email a nome dell’utente colpito. Le aree geografiche interessate in questo caso sono state Asia e Medio Oriente. In conclusione, ci sono evidenze di attacchi coordinati tra vari attori anche di Paesi diversi, però difficili da provare.