Malta: tentativo di penetrazione nei sistemi governativi.

Turla: una delle più sofisticate campagne di cyber spionaggio in corso.

L’attacco di spionaggio informatico ai danni delle infrastrutture governative maltesi, iniziato in Maggio, è stato bloccato da Microsoft, accorso in aiuto dell’agenzia Malta Information Technology Agency (MITA).

Ipotizzato dalla MITA come attacco del gruppo di #cyberspionaggio Turla, il tentativo di penetrazione non è il primo negli utlimi mesi. Il gruppo Turla, noto anche con i nomi Waterbug, Snake, WhiteBear, VENOMOUS BEAR e Kypton è focalizzato da tempo sul cyber spionaggio, colpendo varie vittime: enti governativi (Ministero dell’Interno, Ministero del Commercio e del Commercio, Ministero degli affari esteri/esterni, agenzie di intelligence), ambasciate, organizzazioni militari, di ricerca e di istruzione e Farmaceutiche. Le vittime sono distribuite in 45 paesi: la Francia è in cima alla lista ma negli ultimi 18 mesi Symantec ha osservato tre campagne di Turla, di cui una rivolta in Medio Oriente.

Image for post
Image for post
via Security Affairs — Kaspersky copyright

L’attacco è stato rilevato dalla MITA su una delle strutture di web hosting del governo: un servizio di che le organizzazioni utilizzano per mettere il loro sito web sul World Wide Web. Se non fermato l’attacco sarebbe stato dirompente: avrebbe consentito di accedere ad informazioni sensibili come la corrispondenza e-mail o database governativi, costringendo ad una battuta d’arresto.

Image for post
Image for post
Kaspersky copyright

Turla (o UROBOROS) è anche il nome di un famoso virus riconosciuto da Kaspersky come Advanced Persistent Threat (APT) e una delle più sofisticate campagne di cyber-spionaggio in corso. Per infettare le vittime icyber criminali utilizzerebbero le spear-phishing e-mails e i “watering hole attacks” (siti web comunemente visitati e potenzialmente visitabili dalle vittime).

Una volta che l’utente è stato infettato la backdoor (concosciuta come “WorldCupSec”, “TadjMakhal”, “Wipbot” or “Tadvig”) si connette al server command-and-control (C&C) per inviare le informazioni di sistema della vittima. Una volta che il sistema è compromesso e sulla base delle informazioni ricevute i criminali forniscono file batch pre-configurati contenenti una serie di comandi per l’esecuzione, più tools specifici come un keylogger specifico, un archivio RAR e uno strumento di query DNS da Microsoft.

L’Agenzia MITA ha dichiarato che il 97% delle persone non è in grado di identificare correttamente i tentativi di email pishing: “Le email di phishing spesso sembrano provenire da siti credibili, ma sono progettate per indurre l’utente a condividere le informazioni personali,” ha detto Gary Davis, Chief Consumer Security Evangelist di Intel Security.

Image for post
Image for post
via cybersecurity.gov.mt

Written by

Andrea Biraghi è amministratore delegato Comdata. Esperto in Cyber Security, Security & Information System. Project Manager digitalizzazione e sicurezza IT.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store