Nel panorama sempre più complesso della cybersecurity, identificare e attribuire con certezza le minacce è una sfida complessa. Recentemente, i ricercatori di Proofpoint, in collaborazione con Threatray, hanno pubblicato un’analisi approfondita su TA397, un gruppo di minacce noto anche come “Bitter”. Questa ricerca congiunta non solo rafforza l’attribuzione di TA397 come un attore statale con interessi indiani, ma rivela anche nuove e significative informazioni sulle sue attività di spionaggio, che portano la sua portata geografica ben oltre l’Asia.
Le principali evidenze dei ricercatori Proofpoint
Secondo i ricercatori del team di Proofpoint, “ci sono prove molto chiare che indicano che TA397 è un attore di minacce supportato da uno stato, incaricato di raccogliere informazioni per conto dell’India.”
Le scoperte dei ricercatori si basano su un’analisi meticolosa effettuata su otto anni di attività, che hanno rilevato schemi operativi caratteristici:
- Attribuzione e obiettivi: come spiegano i ricercatori, “è altamente probabile che TA397 sia un attore statale indiano che mira frequentemente a organizzazioni ed entità in Europa con interessi o una presenza in Cina, Pakistan e altri paesi limitrofi nel subcontinente indiano, con una focalizzazione geografica e tematica altamente coerente con gli interessi di intelligence dello stato indiano.”
- Tattiche di mascheramento sofisticate: TA397 impersona uffici esteri, ambasciate ed entità governative di paesi come il Madagascar, le Mauritius e altri. “Questa tattica dimostra una profonda conoscenza delle attività legittimi di queste nazioni, utilizzata per rafforzare la credibilità delle loro operazioni di spear-phishing,” spiegano ancora i ricercatori. L’uso di documenti esca regolari o falsificati, oggetti della email e contenuti del corpo di testo relativi a questioni governative interne o estere, evidenzia la familiarità di TA397 con le pratiche standard governative.
- Impronta digitale caratteristica: nonostante il gruppo sperimenti frequentemente con i propri metodi di delivery per caricare attività pianificate, Proofpoint ha identificato un’impronta digitale piuttosto caratteristica, che include specifiche azioni pianificate, modelli URL PHP, l’inclusione del nome del computer e del nome utente della vittima nel beaconing, e l’uso di certificati Let’s Encrypt sui server degli attaccanti.
- Allineamento con il fuso orario indiano: le operazioni “hands-on-keyboard” (attività manuali sul sistema compromesso) e l’infrastruttura di TA397 si allineano con gli orari di lavoro standard del fuso orario indiano (IST), osservazione che rafforza ulteriormente l’attribuzione del gruppo a un’origine sud-asiatica.
Oltre l’Asia, una portata globale: mentre la maggior parte dei report pubblici su TA397 si è concentrata sulle sue attività in Asia, la ricerca di Proofpoint ha rivelato prove inedite di targeting al di fuori del continente. Il gruppo ha preso di mira entità europee con legami con la Cina o paesi vicini all’India, e sono state osservate attività anche in Cina e Sud America. Questa nuova prospettiva sulla vittimologia di TA397 evidenzia una portata di raccolta di informazioni molto più ampia di quanto documentato in precedenza.
Le scoperte di Proofpoint su TA397 rappresentano un passo significativo nella comprensione delle operazioni di spionaggio cyber a livello statale. L’analisi dettagliata delle loro tattiche, tecniche e procedure (TTPs), unita all’attribuzione basata su prove concrete, fornisce un quadro più chiaro di come questi attori operano e a servizio di chi.
Tutti i dettagli sono disponibili a questo link https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one
