Kaspersky ha già identificato attacchi contro organizzazioni militari-industriali e istituzioni pubbliche nell'Europa orientale e in Afghanistan all'inizio di agosto. Il malware utilizzato è simile a quello di un gruppo APT di lingua cinese.
Kaspersky ICS CERT ha identificato una serie di attacchi mirati contro impianti industriali, istituti di ricerca, agenzie governative, ministeri e uffici in diversi paesi dell'Europa orientale, tra cui Russia, Ucraina e Bielorussia, nonché in Afghanistan. Gli attori dell'APT sono stati in grado di assumere il controllo dell'intera infrastruttura IT delle vittime e di dedicarsi allo spionaggio industriale.
Attacchi a compagnie e organizzazioni militari
Nel gennaio 2022, gli esperti di Kaspersky hanno scoperto diversi attacchi avanzati contro aziende militari e organizzazioni pubbliche, inclusi impianti industriali, uffici di progettazione, istituti di ricerca, agenzie governative, ministeri e dipartimenti, volti a rubare informazioni sensibili e ottenere il controllo sui sistemi IT. Il malware utilizzato dagli aggressori è simile a quello di TA428 APT, un gruppo APT di lingua cinese.
Gli aggressori mirati si infiltrano nelle reti aziendali attraverso e-mail di spear phishing accuratamente predisposte, alcune delle quali contengono informazioni specifiche dell'organizzazione presa di mira che non erano pubbliche al momento dell'invio dell'e-mail. Le e-mail di phishing contenevano un documento Microsoft Word con codice dannoso per sfruttare una vulnerabilità che consente l'esecuzione di codice arbitrario senza attività aggiuntive. La vulnerabilità esiste nelle versioni obsolete di Microsoft Equation Editor, un componente di Microsoft Office.
Utilizzo di sei diverse backdoor
Gli aggressori hanno utilizzato contemporaneamente sei diverse backdoor per creare ulteriori canali di comunicazione con i sistemi infetti nel caso in cui uno dei programmi dannosi fosse rilevato e rimosso da una soluzione di sicurezza. Queste backdoor forniscono funzionalità estese per controllare i sistemi infetti e raccogliere dati sensibili. La fase finale dell'attacco consisteva nel prendere il controllo del controller di dominio e ottenere il controllo completo su tutte le workstation ei server dell'azienda. In un caso, gli aggressori sono persino riusciti a impossessarsi del centro di controllo delle soluzioni di sicurezza informatica. Dopo aver ottenuto i diritti di amministratore di dominio e l'accesso ad Active Directory, gli aggressori hanno eseguito un cosiddetto attacco "golden ticket" per impersonare gli account utente di qualsiasi organizzazione e cercare documenti e altri file contenenti dati sensibili dell'organizzazione attaccata. Gli aggressori hanno ospitato i dati esfiltrati su server in diversi paesi.
Attacchi di biglietti d'oro
"Gli attacchi golden ticket utilizzano il protocollo di autenticazione predefinito, che è in uso sin dalla disponibilità di Windows 2000", spiega Vyacheslav Kopeytsev, esperto di sicurezza presso ICS CERT Kaspersky. “Forgiando i Ticket Granting Ticket (TGT) Kerberos all'interno della rete aziendale, gli aggressori possono accedere a qualsiasi servizio appartenente alla rete a tempo indeterminato. Di conseguenza, la semplice modifica delle password o il blocco degli account compromessi non è sufficiente. Il nostro consiglio: esaminare attentamente tutte le attività sospette e utilizzare soluzioni di sicurezza affidabili".
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/