Check Point Software Technologies pubblica un report approfondito in merito a una campagna di cyberspionaggio globale che ha come protagonista un gruppo organizzato nato, con tutta probabilità, in Libano. Gli esperti della divisione Malware and Vulnerability Research Group hanno battezzato la campagna “Volatile Cedar”, caratterizzata da un’architettura che sfrutta un impianto malware personalizzato, noto in codice come “Explosive”. Per rilevare una simile tipologia di attacco continuo sono stati necessari lunghi periodi di osservazione e tattiche di lettura e analisi del traffico dati globale. Volatile Cedar è attiva fin dall’inizio del 2012 ed è stata in grado di penetrare con successo un gran numero di obiettivi distribuiti nel mondo, consentendo agli hacker di monitorare le azioni delle vittime e di sottrarre loro dati. L’obiettivo della campagna è quello di sottrarre informazioni sensibili nell’ambito della difesa, delle aziende di telecomunicazioni e media, oltre alle strutture education.
• Volatile Cedar è una campagna molto mirata e ben gestita: i suoi obiettivi sono stati scelti con cura, riducendo l’ampiezza dell’infezione al minimo necessario per ottenere o i risultati desiderati degli hacker e minimizzando al tempo stesso il rischio di esposizione. • La prima versione di Explosive è stata individuata a novembre 2012. Da allora, sono state riconosciute diverse versioni. • Il modus operandi di questo gruppo d’attacco prevede un attacco iniziale portato a a web server pubblici, andando a identificarne le possibili vulnerabilità sia manualmente che in modo automatico. • Una volta che l’hacker prende il controllo di un server, lo può usare come perno per esplorare, identificare e attaccare ulteriori obiettivi collocati più profondamente all’interno della rete aziendale. Sono state riscontrate prove di attacchi manuali, come pure di maccanismi automatici di infezione USB.
Dan Wiley, Head of Incident Response & Threat Intelligence di Check Point Software Technologies Volatile Cedar è una campagna malware molto interessante. Perché è stata costantemente operativa, e con successo, per tutta la sua durata, senza essere scoperta grazie a un’attività molto ben pianificata e gestita in modo intelligente, che monitora costantemente le azioni delle sue vittime e risponde rapidamente in caso di possibile identificazione. Si tratta di un aspetto del futuro degli attacchi mirati: malware che osserva una rete in silenzio sottraendo dati, e che può modificarsi velocemente se individuata dai sistemi antivirus. E’ ora che le organizzazioni siano maggiormente proattive nel garantire sicurezza alle proprie reti.
