Il produttore europeo di sicurezza IT ESET ha pubblicato il suo attuale "APT Activity Report T3 2022". Focus: gruppi di hacker cinesi sono attivi in Europa e gruppi di hacker russi continuano a prendere di mira l'Ucraina.
I risultati delle indagini su gruppi selezionati di Advanced Persistent Threat (APT) sono regolarmente riassunti in questi rapporti. Nell'ultimo numero, che copre il periodo da settembre a dicembre 2022, gli esperti ESET presentano i loro ultimi approfondimenti su varie campagne di hacking globali. I gruppi alleati della Cina hanno spostato le loro attività nei paesi europei. Gli hacker russi come Sandworm, Callisto e Gamaredon continuano a prendere di mira l'Ucraina. Inoltre, gruppi legati all'Iran e alla Corea del Nord continuano ad operare su larga scala.
Gli attori delle minacce cinesi rendono l'Europa insicura
“I Paesi europei stanno diventando sempre più interessanti per i gruppi APT cinesi. Tradizionalmente, i gruppi di hacker allineati con la Cina come Goblin Panda e Mustang Panda tendevano a concentrarsi maggiormente sul sud-est asiatico", spiega Jan-Ian Boutin, direttore di ESET Threat Research. “Ma lo scorso novembre, i ricercatori ESET hanno scoperto una nuova backdoor chiamata TurboSlate in un'organizzazione governativa dell'Unione Europea. Il malware è stato ricondotto a Goblin Panda, che sembra copiare le operazioni del gruppo APT Mustang Panda. Questi ultimi hanno scoperto da soli le destinazioni europee all'inizio del 2022. “Il gruppo di spionaggio informatico è noto per aver preso di mira istituzioni governative, società e istituti di ricerca. Lo scorso settembre, gli esperti ESET hanno scoperto un caricatore Korplug che veniva utilizzato dagli hacker in un'azienda del settore energetico e tecnologico svizzero", ha continuato Boutin.
La guerra informatica in Ucraina continua
Anche il famigerato gruppo Sandworm è molto attivo e continua le sue operazioni contro l'Ucraina. I ricercatori ESET si sono imbattuti in un tergicristallo precedentemente sconosciuto che è stato utilizzato contro un'azienda del settore energetico nel paese dell'Europa orientale nell'ottobre 2022. L'attacco descritto ha avuto luogo nel momento in cui le forze russe hanno iniziato a lanciare attacchi missilistici contro le infrastrutture energetiche. Sebbene ESET non possa provare che questi eventi siano stati coordinati, ciò suggerisce che Sandworm e l'esercito russo condividono obiettivi simili.
ESET ha soprannominato l'ultimo tergicristallo, proveniente da una linea di tergicristalli scoperti in precedenza, NikoWiper. Il malware si basa su SDelete, uno strumento da riga di comando di Microsoft utilizzato per eliminare in modo sicuro i file. Oltre al malware che cancella i dati, i ricercatori ESET hanno scoperto anche gli attacchi Sandworm che utilizzano il ransomware come tergicristallo. Il software di crittografia aveva lo stesso obiettivo del tergicristallo, si trattava di distruggere i dati. Ciò è dimostrato principalmente dal fatto che la fornitura di una chiave di decrittazione non è mai stata pianificata.
Verme della sabbia, Callisto, Gamaredon
Oltre a Sandworm, altri gruppi APT russi come Callisto e Gamaredon hanno continuato le campagne di spearphishing contro l'Ucraina per rubare credenziali e installare malware. Nell'ottobre 2022, ESET ha rilevato il ransomware Prestige, utilizzato contro società di logistica in Ucraina e Polonia. Un mese dopo, i ricercatori ESET in Ucraina hanno trovato un nuovo software di crittografia scritto in .NET, che hanno soprannominato RansomBoggs. ESET Research ha pubblicato i risultati della sua indagine su questa campagna sull'omonimo account Twitter.
L'Iran e la Corea del Nord continuano a operare su larga scala
Anche i gruppi alleati dell'Iran continuano i loro attacchi: oltre alle compagnie israeliane, il POLONIUM ha preso di mira anche le filiali estere delle compagnie israeliane. Anche il gruppo APT iraniano MuddyWater è sospettato di aver compromesso un fornitore di servizi di sicurezza gestiti.
Il gruppo di hacker affiliato alla Corea del Nord Konni ha utilizzato vecchie vulnerabilità per compromettere aziende e scambi di criptovalute in diverse parti del mondo. I ricercatori di ESET hanno scoperto che gli attori delle minacce hanno aggiunto l'inglese al repertorio di lingue che utilizza nei suoi documenti di inganno. Ciò suggerisce che non limitano più il loro raggio d'azione ai soliti obiettivi russi e sudcoreani.
Contesto del rapporto di attività APT
Oltre all'ESET Threat Report, ESET Research pubblica l'ESET APT Activity Report, che fornisce una panoramica periodica dei risultati della ricerca sulle attività di Advanced Persistent Threats (APT). La prima edizione copre il periodo da maggio ad agosto 2022. In futuro, il Rapporto APT sarà pubblicato insieme al Rapporto sulle minacce ESET.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.