Malta: tentativo di penetrazione nei sistemi governativi.

Turla: una delle più sofisticate campagne di cyber spionaggio in corso.

L’attacco di spionaggio informatico ai danni delle infrastrutture governative maltesi, iniziato in Maggio, è stato bloccato da Microsoft, accorso in aiuto dell’agenzia Malta Information Technology Agency (MITA).

Ipotizzato dalla MITA come attacco del gruppo di #cyberspionaggio Turla, il tentativo di penetrazione non è il primo negli utlimi mesi. Il gruppo Turla, noto anche con i nomi Waterbug, Snake, WhiteBear, VENOMOUS BEAR e Kypton è focalizzato da tempo sul cyber spionaggio, colpendo varie vittime: enti governativi (Ministero dell’Interno, Ministero del Commercio e del Commercio, Ministero degli affari esteri/esterni, agenzie di intelligence), ambasciate, organizzazioni militari, di ricerca e di istruzione e Farmaceutiche. Le vittime sono distribuite in 45 paesi: la Francia è in cima alla lista ma negli ultimi 18 mesi Symantec ha osservato tre campagne di Turla, di cui una rivolta in Medio Oriente.

via Security Affairs — Kaspersky copyright

L’attacco è stato rilevato dalla MITA su una delle strutture di web hosting del governo: un servizio di che le organizzazioni utilizzano per mettere il loro sito web sul World Wide Web. Se non fermato l’attacco sarebbe stato dirompente: avrebbe consentito di accedere ad informazioni sensibili come la corrispondenza e-mail o database governativi, costringendo ad una battuta d’arresto.

Kaspersky copyright

Turla (o UROBOROS) è anche il nome di un famoso virus riconosciuto da Kaspersky come Advanced Persistent Threat (APT) e una delle più sofisticate campagne di cyber-spionaggio in corso. Per infettare le vittime icyber criminali utilizzerebbero le spear-phishing e-mails e i “watering hole attacks” (siti web comunemente visitati e potenzialmente visitabili dalle vittime).

Una volta che l’utente è stato infettato la backdoor (concosciuta come “WorldCupSec”, “TadjMakhal”, “Wipbot” or “Tadvig”) si connette al server command-and-control (C&C) per inviare le informazioni di sistema della vittima. Una volta che il sistema è compromesso e sulla base delle informazioni ricevute i criminali forniscono file batch pre-configurati contenenti una serie di comandi per l’esecuzione, più tools specifici come un keylogger specifico, un archivio RAR e uno strumento di query DNS da Microsoft.

L’Agenzia MITA ha dichiarato che il 97% delle persone non è in grado di identificare correttamente i tentativi di email pishing: “Le email di phishing spesso sembrano provenire da siti credibili, ma sono progettate per indurre l’utente a condividere le informazioni personali,” ha detto Gary Davis, Chief Consumer Security Evangelist di Intel Security.

via cybersecurity.gov.mt

Andrea Biraghi è amministratore delegato Comdata. Esperto in Cyber Security, Security & Information System. Project Manager digitalizzazione e sicurezza IT.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store