Check Point® Software Technologies Ltd. (Nasdaq: CHKP), principale fornitore di sicurezza pure-play al mondo, ha pubblicato oggi un report dedicato alla scoperta di un gruppo organizzato di attacco nato presumibilmente in Libano e con legami politici.
I ricercatori del Malware and Vulnerability Research Group di Check Point hanno scoperto una campagna di attacco chiamata Volatile Cedar, che sfrutta un impianto malware personalizzato noto in codice come Explosive. Attiva fin dall’inizio del 2012, questa campagna è stata in grado di penetrare con successo un gran numero di obiettivi distribuiti nel mondo, consentendo agli hacker di monitorare le azioni delle vittime e di sottrarre loro dati.
Ad oggi, le organizzazioni sotto attacco comprendono fornitori nell’ambito della difesa, aziende di telecomunicazioni e media, oltre a strutture education. La natura degli attacchi e le ripercussioni associate fanno pensare che gli obiettivi dei loro autori non siano di natura finanziaria, ma mirati a sottrarre informazioni sensibili dalle realtà prese di mira.
Le informazioni principali:
· Volatile Cedar è una campagna molto mirata e ben gestita: i suoi obiettivi sono stati scelti con cura, riducendo l’ampiezza dell’infezione al minimo necessario per ottenere o i risultati desiderati degli hacker e minimizzando al tempo stesso il rischio di esposizione.
· La prima versione di Explosive è stata individuata a novembre 2012. Da allora, sono state riconosciute diverse versioni.
· Il modus operandi di questo gruppo d’attacco prevede un attacco iniziale portato a a web server pubblici, andando a identificarne le possibili vulnerabilità sia manualmente che in modo automatico.
· Una volta che l’hacker prende il controllo di un server, lo può usare come perno per esplorare, identificare e attaccare ulteriori obiettivi collocati più profondamente all’interno della rete aziendale. Sono state riscontrate prove di attacchi manuali, come pure di maccanismi automatici di infezione USB.
“Volatile Cedar è una campagna malware molto interessante. Perché è stata costantemente operativa, e con successo, per tutta la sua durata, senza essere scoperta grazie a un’attività molto ben pianificata e gestita in modo intelligente, che monitora costantemente le azioni delle sue vittime e risponde rapidamente in caso di possibile identificazione”, spiega Dan Wiley, Head of Incident Response & Threat Intelligence di Check Point Software Technologies. “Si tratta di un aspetto del futuro degli attacchi mirati: malware che osserva una rete in silenzio sottraendo dati, e che può modificarsi velocemente se individuata dai sistemi antivirus. E’ ora che le organizzazioni siano maggiormente proattive nel garantire sicurezza alle proprie reti.”
I clienti Check Point sono protetti da Volatile Cedar attraverso diverse signature su diverse software blade, e le blade abilitate a ThreatCloud sono state in grado di identificare e riconoscere fino ad oggi ogni variante del malware Explosive. Le organizzazioni possono proteggersi da un attacco quale Volatile Cedar attraverso un’infrastruttura intelligente di sicurezza che comprende una reale segmentazione del firewall, IPS, anti-bot, patching e configurazoone dei controlli applicativi.
