Malta: tentativo di penetrazione nei sistemi governativi.
Turla: una delle più sofisticate campagne di cyber spionaggio in corso.
L’attacco di spionaggio informatico ai danni delle infrastrutture governative maltesi, iniziato in Maggio, è stato bloccato da Microsoft, accorso in aiuto dell’agenzia Malta Information Technology Agency (MITA).
Ipotizzato dalla MITA come attacco del gruppo di #cyberspionaggio Turla, il tentativo di penetrazione non è il primo negli utlimi mesi. Il gruppo Turla, noto anche con i nomi Waterbug, Snake, WhiteBear, VENOMOUS BEAR e Kypton è focalizzato da tempo sul cyber spionaggio, colpendo varie vittime: enti governativi (Ministero dell’Interno, Ministero del Commercio e del Commercio, Ministero degli affari esteri/esterni, agenzie di intelligence), ambasciate, organizzazioni militari, di ricerca e di istruzione e Farmaceutiche. Le vittime sono distribuite in 45 paesi: la Francia è in cima alla lista ma negli ultimi 18 mesi Symantec ha osservato tre campagne di Turla, di cui una rivolta in Medio Oriente.
L’attacco è stato rilevato dalla MITA su una delle strutture di web hosting del governo: un servizio di che le organizzazioni utilizzano per mettere il loro sito web sul World Wide Web. Se non fermato l’attacco sarebbe stato dirompente: avrebbe consentito di accedere ad informazioni sensibili come la corrispondenza e-mail o database governativi, costringendo ad una battuta d’arresto.
Turla (o UROBOROS) è anche il nome di un famoso virus riconosciuto da Kaspersky come Advanced Persistent Threat (APT) e una delle più sofisticate campagne di cyber-spionaggio in corso. Per infettare le vittime icyber criminali utilizzerebbero le spear-phishing e-mails e i “watering hole attacks” (siti web comunemente visitati e potenzialmente visitabili dalle vittime).
Una volta che l’utente è stato infettato la backdoor (concosciuta come “WorldCupSec”, “TadjMakhal”, “Wipbot” or “Tadvig”) si connette al server command-and-control (C&C) per inviare le informazioni di sistema della vittima. Una volta che il sistema è compromesso e sulla base delle informazioni ricevute i criminali forniscono file batch pre-configurati contenenti una serie di comandi per l’esecuzione, più tools specifici come un keylogger specifico, un archivio RAR e uno strumento di query DNS da Microsoft.
L’Agenzia MITA ha dichiarato che il 97% delle persone non è in grado di identificare correttamente i tentativi di email pishing: “Le email di phishing spesso sembrano provenire da siti credibili, ma sono progettate per indurre l’utente a condividere le informazioni personali,” ha detto Gary Davis, Chief Consumer Security Evangelist di Intel Security.
