McAfee ha rilasciato uno studio intitolato Analisi di Operazione Troy: spionaggio informatico nella Corea del Sud, di Ryan Sherstobitoff e Itai Liba, McAfee Labs e James Walter, membro dell’ufficio del CTO di McAfee da cui emerge come a seguito dell’attacco DarkSeoul del 20 marzo 2013 contro i servizi finanziari e i media della Corea del Sud, la maggior parte dell’attenzione era concentrata sulla funzionalità di cancellazione del record di avvio principale (Master Boot Record o MBR) che avevano cancellato i dati presenti sugli hard disk dei PC infettati, mentre l’attacco DarkSeoul aveva utilizzato un’ampia gamma di tecnologie e tattiche, oltre alla funzionalità MBR.
Questa indagine sugli attacchi informatici del 20 marzo 2013 ha rivelato operazioni di raccolta clandestina continuativa di informazioni. Secondo McAfee Labs questi attacchi del non sono stati un evento isolato strettamente legato alla distruzione dei sistemi, ma l’ultimo di una serie di attacchi risalenti al 2010. Queste operazioni sono rimaste nascoste per anni e hanno eluso le tecniche di difesa che le organizzazioni prese di mira avevano in essere.
I risultati dell’indagine infatti hanno indicato che DarkSeoul è stato solo l’attacco più recente all’interno di un progetto di sviluppo malware che è stato denominato Operazione Troy, dalle ripetute citazioni dell’antica città individuate nelle stringhe di compilazione del malware. Il principale gruppo sospettato in questi attacchi è il New Romanic Cyber Army Team che fa un utilizzo significativo di termini Romani nel proprio codice.
La storia di Troy
La storia di Operazione Troy è iniziata nel 2010, con la comparsa del Trojan NSTAR. Sin dalla comparsa di NSTAR ne sono state identificate sette varianti note. Nonostante il rapido ciclo di rilascio, la funzionalità fondamentale di Operazione Troy non si è evoluta molto. In effetti, le principali differenze tra NSTAR, Chang/Eagle e HTTP Troy avevano più a che fare con la tecnica di programmazione che con la funzionalità. I primi miglioramenti funzionali reali hanno fatto la loro comparsa nella release Concealment Troy, all’inizio del 2013. Concealment Troy aveva cambiato l’architettura di controllo e riusciva a nascondere meglio la sua presenza alle tecniche di sicurezza standard.
