Kaspersky Lab: nuovo gruppo di cyberspionaggio per attacchi mirati in Asia Centrale

redazione

I ricercatori di Kaspersky Lab hanno scoperto un’ondata di attacchi mirati di cyberspionaggio diretti ad organizzazioni diplomatiche in Asia Centrale. Il Trojan chiamato “Octopus”, “mascherato” per essere scambiato per la popolare e legittima app di messaggistica online Telegram, sfruttava la notizia di un possibile ban dell’applicazione di messaggistica nella regione. Una volta installata, Octopus ha fornito agli aggressori gli accessi remoti dei computer delle vittime.

Gli autori delle minacce ricercano costantemente notizie sfruttabili e adeguano le loro tecniche per colpire la privacy degli utenti e sottrarre le informazioni sensibili in tutto il mondo. In questo caso, il possibile divieto di utilizzare Telegram ha consentito agli autori delle minacce di pianificare gli attacchi usando l’Octopus Trojan, che ha dato agli hacker l’accesso remoto al computer delle vittime.

Gli autori delle minacce hanno inserito l’Octopus all’interno di un archivio “travestito” da una versione alternativa di Telegram per gli oppositori kazaki. Il launcher era camuffato con un simbolo attribuibile a una delle parti politiche di opposizione della regione, e il Trojan era nascosto all’interno. Una volta attivato, il Trojan ha dato agli autori del malware l’opportunità di eseguire varie operazioni sul computer infetto, tra cui cancellazione, blocco, modifica, copia e scaricamento dei dati. In questo modo, gli aggressori sono stati in grado di spiare le vittime, rubare i dati sensibili e ottenere l’accesso backdoor ai sistemi. Lo schema ha molte somiglianze con la famosa operazione di cyberspionaggio chiamata Zoo Park, in cui il malware usato per l’APT imitava l’applicazione Telegram per spiare le vittime.

Usando gli algoritmi elaborati da Kaspersky che riconoscono le somiglianze nel codice del software, i ricercatori di sicurezza hanno scoperto che Octopus può essere collegato a DustSquad – un autore di cyberspionaggio di lingua russa precedentemente rilevato in paesi dell’ex Unione Sovietica in Asia Centrale, così come in Afghanistan, dal 2014. Negli ultimi due anni, i ricercatori hanno rilevato quattro loro campagne con malware per Android e Windows che hanno come obiettivo sia utenti privati che enti diplomatici.

“Abbiamo visto molti autori di minacce colpire enti diplomatici in Asia Centrale nel 2018. DustSquad è impegnato in questa zona da molti anni e potrebbe essere il gruppo dietro questa nuova minaccia. Apparentemente, l’interesse dei cyberaffair in questa regione sta crescendo costantemente. Noi abbiamo informato utenti e organizzazioni di questa zona di tenere d’occhio i loro sistemi e avvertire i dipendenti di fare lo stesso” afferma Denis Legezo, Security Researcher di Kaspersky Lab.

Per ridurre il rischio di cyberattacchi sofisticati, Kaspersky Lab raccomanda di implementare le seguenti misure per:

• Educare lo staff sulle policy da seguire spiegando come riconoscere ed evitare le potenziali applicazioni o file malevoli. Per esempio, i lavoratori non dovrebbero scaricare e lanciare alcuna applicazione o programma da fonti non sicure o sconosciute.
• Usare una solida soluzione di sicurezza con la funzionalità Application Control che limita la possibilità delle applicazioni di avviare o accedere alle risorse critiche del sistema.
• Implementare una serie di soluzioni e tecnologie contro gli attacchi mirati come Kaspersky Anti Targeted Attack Platform e Kaspersky EDR. Ciò può aiutare a individuare attività malevole nella rete, investigare e rispondere in maniera efficace agli attacchi per bloccare i loro processi.
• Essere sicuri che il proprio team di sicurezza abbia a disposizione informazioni di Professional Threat Intelligence.