Gli hacker che hanno preso di mira Facebook, Microsoft, Twitter e Apple rappresentano una minaccia per la sicurezza aziendale

Il gruppo di hacker che ha preso di mira Facebook, Microsoft, Twitter e Apple sta attivamente hackando per rubare informazioni riservate a scopo di lucro

Un gruppo di hacker che ha violato aziende tecnologiche di alto profilo come Microsoft, Apple Inc, Facebook Inc e Twitter Inc più di due anni fa è ora ritenuto aver intensificato i propri sforzi di spionaggio economico mentre cerca informazioni aziendali riservate e proprietà intellettuale per poter trarne profitto.

Il gruppo, identificato come Wild Neutron o Morpho da Symantec Corp. e Kaspersky Lab, ha violato le reti di oltre 45 grandi aziende dal 2012. Symantec afferma che il gruppo sembra essere tra i pochi che mostrano un talento significativo senza il sostegno di un governo nazionale.

“Sono molto concentrati, vogliono tutto ciò che è prezioso dalle principali aziende del mondo”, ha dichiarato Vikram Thakur, un manager senior di Symantec. “L’unico modo in cui potrebbero utilizzarlo, a nostro avviso, è attraverso qualche mercato finanziario o vendendolo.”

Symantec ha detto che Morpho era scomparso dalla vista per mesi dopo che i resoconti della stampa sulle violazioni di Microsoft, Apple e altre grandi aziende tecnologiche all’inizio del 2103 hanno messo in luce le loro tecniche, che includevano l’uso di un difetto “zero-day” precedentemente sconosciuto nella piattaforma Java di Oracle.

Symantec ha affermato che Morpho ha anche utilizzato un “watering hole” infettando siti web che probabilmente attiravano i dipendenti dei suoi obiettivi come visitatori. I dipendenti di uno sviluppatore di iPhone sono stati presi di mira attraverso questo metodo.

Symantec ha identificato 49 diverse organizzazioni in oltre 20 paesi che sono state vittime del gruppo Morpho dal 2012. La maggior parte di esse proveniva dai settori tecnologico, farmaceutico, delle materie prime e legale ed erano basate negli Stati Uniti, in Canada o in Europa.

Kaspersky ha identificato ulteriori aziende compromesse dal gruppo che sono coinvolte in criptovalute Bitcoin, investimenti, sanità, immobili, fusioni e acquisizioni, oltre a utenti individuali.

“Morpho è un gruppo di attacco abile, persistente ed efficace che è attivo almeno da marzo 2012”, hanno scritto i ricercatori della società di sicurezza Symantec in un rapporto pubblicato mercoledì. “Hanno risorse adeguate, utilizzando almeno uno o possibilmente due exploit zero-day. La loro motivazione è molto probabilmente il guadagno finanziario e dato che sono attivi da almeno tre anni, devono avere successo nel monetizzare la loro operazione.”

I ricercatori di Kaspersky Lab, che hanno rilasciato il proprio rapporto indipendente su Morpho. Il rapporto di Kaspersky ha affermato che il gruppo è attivo almeno dal 2011 e, oltre allo zero-day di Java, Morpho ha iniziato a utilizzare un certificato digitale valido rilasciato ad Acer Incorporated per superare i requisiti di firma del codice integrati nei moderni sistemi operativi. Hanno anche rilevato l’uso recente di un “exploit sconosciuto di Flash Player”, un’indicazione che gli attaccanti potrebbero utilizzare un altro exploit zero-day.

Morpho ha violato circa 49 organizzazioni di cui Symantec è a conoscenza dal 2012, con il numero di penetrazioni ogni anno che è aumentato a 14 entro il 2015. La maggior parte delle vittime di Morpho si trova negli Stati Uniti, in Europa e in Canada secondo Symantec.

Thakur ha dichiarato che il suo team pensa che il gruppo possa avere circa 10 membri in tutto il mondo, alcuni dei quali parlano fluentemente inglese e uno o più potrebbero aver lavorato in un’agenzia di intelligence. Potrebbero offrirsi per essere assunti o potrebbero violare aziende per speculazione e cercare di vendere le informazioni o fare trading in azioni basate su di esse.