I ricercatori di Kaspersky, fra i più preparati al mondo, hanno rilevato numerosi tentativi di attacco verso organizzazioni diplomatiche in Iran attraverso uno spyware “fatto in casa”. Sembra che gli attacchi abbiano impiegato una backdoor Remexi aggiornata. Nel corso della campagna sono stati utilizzati anche diversi tool legittimi. La backdoor Remexi è collegata ad un gruppo di criminali sospettati di attività di cyberspionaggio che usa la lingua persiana, conosciuto come Chafer e precedentemente associato ad attività di sorveglianza informatica su singoli utenti in Medio Oriente. Il fatto di aver scelto delle ambasciate come obiettivi potrebbe far pensare ad un nuovo orizzonte di interessi da parte del gruppo.
Grazie al lavoro svolto da Kaspersky Lab, è emerso come gli autori delle cyberminacce nei paesi emergenti stiano organizzando campagne contro obiettivi d’interesse usando malware relativamente basilari e “fatti in casa”, combinati con una serie di tool a disposizione di tutti. In questo caso, gli attaccanti hanno utilizzato una versione migliorata e aggiornata della backdoor Remexi, che consente l’amministrazione da remoto dei dispositivi delle vittime. Ricordiamo che Remexi è stata rilevata per la prima volta nel corso del 2015, mentre veniva utilizzata da un gruppo di cyberspionaggio di nome Chafer per operazioni di sorveglianza informatica rivolte a privati e ad alcune organizzazioni in Medio Oriente.
Il fatto che la backdoor impiegata in questa nuova campagna abbia delle somiglianze a livello di codice con i sample già conosciuti di Remexi, insieme alle considerazioni sulle vittime designate come obiettivi, hanno fatto sì che i ricercatori di Kaspersky Lab collegassero, con un certo livello di sicurezza, il nuovo spyware con le attività del gruppo Chafer. Il malware Remexi appena scoperto è capace di eseguire comandi da remoto e di appropriarsi di screenshot, dati del browser (incluse le credenziali degli utenti, i dati di login e cronologia) e qualsiasi testo digitato, fra le altre cose. I dati sottratti vengono esfiltrati attraverso l’applicazione legittima Microsoft Background Intelligent Transfer Service (BITS) – un componente di Windows progettato per consentire aggiornamenti di sistema in background. La tendenza a combinare i malware con codici corretti o legittimi permette agli attaccanti di risparmiare tempo e risorse nel corso della creazione del malware, oltre che di rendere più difficile l’attribuzione degli attacchi.
Denis Legezo, Security Researcher di Kaspersky Lab
Quando parliamo di campagne di cyberspionaggio sponsorizzate da stati-nazione, le persone spesso si immaginano operazioni all’avanguardia, con impiego di tool complessi e sviluppati da esperti. Le persone che stanno dietro a questa campagna spyware, invece, sembrano essere più amministratori di sistemi che sofisticati autori di cyberminacce: sanno come scrivere un codice, ma la loro campagna si basa più sull’uso creativo dei tool che già esistono, piuttosto che su nuove e avanzate funzionalità o su un’elaborata architettura del codice. Ad ogni modo, anche i tool relativamente semplici possono causare danni significativi, quindi invitiamo tutte le organizzazioni a proteggere i loro sistemi e le loro informazioni sensibili da tutti i tipi di cyberminacce, e a usare l’intelligence delle minacce informatiche per capire come si sta evolvendo il panorama generale.
I prodotti di Kaspersky Lab hanno rilevato il malware Remexi aggiornato come Trojan.Win32. Remexi e come Trojan.Win32.Agent.
Ecco una serie di suggerimenti forniti direttamente dal Kaspersky Lab:
– È importante usare una soluzione di sicurezza aziendale affidabile, con funzionalità “anti-targeted attack” e intelligence delle minacce, come Kaspersky Threat Management and Defense. La soluzione è in grado di individuare e bloccare attacchi mirati di tipo avanzato attraverso l’analisi delle anomalie di rete, fornendo ai team di cybersecurity anche la visibilità totale sulla rete stessa e la risposta automatica agli incidenti.
– È necessario implementare in azienda iniziative di security awareness, in modo da insegnare ai dipendenti le modalità di identificazione di possibili messaggi sospetti. L’email resta il punto di accesso più comune per gli attacchi mirati; chi usa i prodotti Kaspersky Lab può sfruttare gli strumenti messi a disposizione dal Kaspersky Security Awareness Training.
– I team di cybersecurity di ogni azienda devono avere la possibilità di accedere alle informazioni più aggiornate in materia di intelligence delle minacce, per essere sempre informati sulle tattiche e i tool utilizzati di recente dai cybercriminali, ma anche per potenziare i controlli di cybersicurezza già attivi.