Un nuovo report di F-Secure getta luce sulle attività di Callisto, gruppo di attacco informatico prima ignoto che utilizzerebbe uno spyware fuoriuscito da Hacking Team.
Il Gruppo Callisto rappresenterebbe una realtà motivata e dotata di buone risorse, in grado di condurre attacchi informatici verso personale militare, ufficiali governativi, giornalisti e gruppi di esperti a partire almeno dal 2015. Mentre il report F-Secure non identifica vittime specifiche, l’elemento ricorrente tra queste ultime sarebbe una connessione con la politica estera e di sicurezza che coinvolge l’Europa orientale e il Caucaso meridionale: questo fa presupporre che il fine di Callisto sia la raccolta di informazioni. Il report nota inoltre che l’infrastruttura di Callisto ha collegamenti con entità in Russia, Ucraina e Cina, e che vi sono prove che suggeriscono che il gruppo abbia legami con uno stato; tuttavia, i dettagli precisi di queste relazioni non sono chiari.
Secondo F-Secure, il Gruppo Callisto usa attacchi di phishing estremamente mirati per rubare credenziali di account email, così come email di spear phishing personalizzate per diffondere del malware. Le email infette sono spesso inviate da account già compromessi da precedenti attacchi phishing di Callisto.
Il malware rilasciato nel corso degli attacchi in questione è stato progettato per rubare informazioni dalle vittime, e per infettarle con altro malware: si tratterebbe di una variante dell’agent Scout, sviluppato dall’azienda italiana di sorveglianza HackingTeam. Scout era parte di un toolset spyware che HackingTeam vendeva alle agenzie governative, rubato ed apparso online nel 2015.
Secondo F-Secure, il Gruppo Callisto resta tutt’ora attivo.
Sean Sullivan, F-Secure Security Advisor
Agiscono come attaccanti di Stato, ma ci sono prove che li collegano anche a infrastrutture usate dai criminali. Quindi potrebbe trattarsi di un gruppo indipendente che è stato ingaggiato da un governo per fare questo lavoro, o eventualmente potrebbero agire per conto proprio con l’intento di vendere le informazioni a un ente governativo o di intelligence. Ma ci sono diverse spiegazioni, oltre a queste, e non possiamo dire con certezza quale sia quella reale sulla base delle evidenze attuali.Erka Koivunen, Chief Information Security Officer, F-Secure
L’uso di spyware utilizzati in ambito governativo da parte di attaccanti non dovrebbe sorprendere. Gli strumenti di sorveglianza sono per loro stessa natura progettati per invadere la privacy delle persone. Nelle democrazie ben funzionanti queste ‘azioni invasive’ sono eseguite su mandato di legge, e i cittadini si affidano alle autorità affinché vengano utilizzate in modo responsabile con controlli adeguati e un certo equilibrio di base. Ma le violazioni di dati e la conseguente successiva perdita di strumenti di sorveglianza di livello professionale forniscono a queste capacità invasive gradi di minaccia differenti. Questo dovrebbe ricordare ai governi che non abbiamo l’esclusivo controllo su queste tecnologie, e che mercenari, Stati ostili, e altre minacce non esiteranno a usare questi poteri di sorveglianza contro di noi.
