Software commerciale made in U.S. utilizzato da enti statali per hackerare obiettivi militari in Europa e Israele

Table Of Contents

• Campagna di hacking statale sospetta contro Europa e Israele ha utilizzato software commerciale made in U.S.
• Approccio diverso
• Rocket Kitten
• Iran come principale sospettato

Campagna di hacking statale sospetta contro Europa e Israele ha utilizzato software commerciale made in U.S.

Una campagna di hacking contro obiettivi militari all’interno di Israele e Europa è emersa recentemente e i ricercatori dietro la scoperta credono che l’attacco abbia utilizzato software disponibile commercialmente. I ricercatori di CrowdStrike e della startup Cymmetria presenteranno le loro scoperte insolite al congresso annuale sulla sicurezza Chaos Communication Congress ad Amburgo sabato.

Approccio diverso

Gli attaccanti criminali hanno utilizzato strumenti disponibili commercialmente – come Metasploit – per un bel po’ di tempo. Tuttavia, gli attori statali generalmente evitano di utilizzare software commerciale, per timore che possa essere ricondotto al proprio cliente, portando a un’indignazione pubblica. I paesi tendono a utilizzare software specificamente scritto per la maggior parte degli scopi, per migliorare la sicurezza e l’indipendenza. Tuttavia, questo attacco in questione ha adottato un nuovo approccio abusando di uno strumento di test di sicurezza, sviluppato dalla Core Security con sede a Boston. Core Security vende i suoi prodotti a clienti che vogliono testare i propri meccanismi di sicurezza.

I principali attacchi sponsorizzati dal governo hanno strumenti appositamente scritti integrati da programmi gratuiti e ampiamente disponibili. Questo è in parte perché i programmi commerciali potrebbero essere ricondotti a clienti specifici. Sebbene, la dipendenza da strumenti simili su misura ha permesso ai ricercatori di restringere in qualche modo un attacco a entità particolari. Tuttavia, l’uso del programma di sicurezza Core aggiunge una nuova svolta alla storia.

Utilizzare il programma Core Security, che costa tipicamente $10,000 o $20,000, potrebbe aiutare a confondere le acque, e l’analista di CrowdStrike Tillmann Werner ha detto che potrebbe anche aiutare una potenza cibernetica di secondo livello a saltare parte del lavoro frequentemente svolto da Cina, Russia e Stati Uniti. “La risposta più probabile è che non avessero la capacità di farlo da soli,” ha detto Werner riguardo agli hacker, aggiungendo che “non c’è rischio di lasciare segni degli strumenti.”

Rocket Kitten

Werner e il CEO di Cymmetria Gadi Evron, che presiede anche l’Israeli CERT, hanno detto di non sapere chi fosse dietro la campagna. Ma a giudicare dalle prove delle vittime, i ricercatori ritengono che l’attacco potrebbe essere stato sponsorizzato dall’Iran. Evron ha detto che hanno rilevato attacchi risalenti ad aprile. Questi attacchi includono quelli a un’azienda israeliana “adiacente all’industria della difesa e aerospaziale,” un’istituzione accademica israeliana, un’agenzia di difesa di lingua tedesca e un ministero della difesa dell’Europa orientale. L’unica altra informazione che abbiamo in questo momento è che gli attacchi a obiettivi con sede in Israele non sono stati riusciti.

CrowdStrike ha soprannominato questa campagna di hacking ‘Rocket Kitten’ seguendo la sua convenzione di nominare ogni gruppo di attacco cibernetico iraniano sospetto come Kittens. L’attacco si basava su fogli Excel infetti che venivano inviati per posta a dirigenti delle vittime. La mail richiedeva il permesso di eseguire un programma macro all’interno del foglio di calcolo Excel. Le macro sono piccoli pezzi automatizzati di un programma che sono programmati per eseguire un compito specifico.

Tuttavia, in questo caso la macro trasportava un payload di malware. Una volta che il dirigente dell’azienda obiettivo eseguiva la macro, il malware portante scaricava altri componenti dello strumento Core Impact di Core e li installava sui server di queste macchine. Una delle caratteristiche dello strumento Core Impact di Core è la sua capacità di occultamento per nascondersi dalla rilevazione.

I termini di licenza di Core vietano l’uso del suo programma contro terzi ignari, e il vicepresidente ingegneria di Core Flavio de Cristofaro ha detto che l’azienda non aveva sentito parlare di tale abuso negli ultimi cinque anni. De Cristofaro ha detto che l’azienda assisterebbe il CERT se richiesto e in ogni caso cercherebbe di rintracciare come il software fosse stato estratto dai watermark e da altre restrizioni tecniche progettate per limitarne la diffusione.

“Seguirà questa pista,” ha detto De Cristofaro.

Iran come principale sospettato

Dal presunto coinvolgimento degli Stati Uniti e di Israele nell’attacco al programma nucleare dell’Iran tramite il virus Stuxnet, si dice che l’Iran stia potenziando le sue capacità di guerra cibernetica. Il virus Stuxnet è stato particolarmente destabilizzante per il programma nucleare indigeno dell’Iran ed è uno dei motivi per cui si dice che l’Iran sia giunto ai tavoli di negoziazione con le potenze occidentali su questioni di non proliferazione. In precedenza, hacker con sede in Iran avevano condotto con successo un’operazione di hacking contro la Las Vegas Sands Corp. che ha praticamente chiuso le reti dell’operatore di casinò con sede negli Stati Uniti. Questo attacco è stato effettuato perché il proprietario della Sands Corp aveva chiesto all’esercito degli Stati Uniti di bombardare l’Iran per fermarlo dalla proliferazione di materiali fissili. Gli investigatori su quell’attacco hacker non hanno trovato alcun legame con lo stato dell’Iran, ma questo fatto non nega che l’Iran sia un paese molto ingegnoso nelle arti della guerra cibernetica.

Resource : Chicago Tribune.