Nel Q2 2019, i ricercatori di Kaspersky hanno osservato come le APT abbiano preso di mira o erano originate in Medio Oriente da criminali informatici di lingua persiana. Il report trimestrale sui trend APT, minacce avanzate persistenti, è il risultato della ricerca di threat intelligence di Kaspersky ed evidenzia i principali sviluppi di questo tipo di attività.
Nel secondo trimestre di quest’anno, tra le attività di alcuni noti criminali informatici di lingua persiana (OilRig e MuddyWater), sono state rilevate la fuga di notizie online relative ad asset quali codici, infrastrutture, dettagli sul gruppo e le presunte vittime. Le fughe di notizie provenivano da fonti diverse, ma sono state diffuse nel giro di poche settimane l’una dall’altra. La terza fuga di notizie online, che ha diffuso informazioni relative a un’entità chiamata “RANA institute”, è stata pubblicata in lingua persiana sul sito web “Hidden Reality”.
L’analisi effettuata dai ricercatori di Kaspersky su materiali, infrastrutture e sul sito web dedicato che è stato utilizzato, ha portato alla conclusione che questa fuga di notizie potesse essere collegata al gruppo criminale Hades. Hades è lo stesso gruppo criminale artefice dell’incidente OlympicDestroyer che ha preso di mira i Giochi Olimpici Invernali del 2018, così come il worm ExPetr e le varie campagne di disinformazione come la fuga di email relative alla campagna elettorale presidenziale di Emmanuel Macron in Francia nel 2017.
Vicente Diaz, Principal Security Researcher, Global Research and Analysis Team, Kaspersky
Il secondo trimestre del 2019 mostra quanto sia diventato confuso e poco chiaro il panorama delle minacce e quanto spesso le cose appaiano diverse dalla realtà. Tra le altre cose, abbiamo avuto modo di osservare un autore delle minacce che ha effettuato l’hijacking di un’infrastruttura di un gruppo più piccolo e abbiamo rilevato un altro gruppo che sfruttava una serie di fughe di notizie online per diffondere disinformazione e minare la credibilità degli asset esposti. Chi si occupa di sicurezza non deve farsi ingannare e deve essere in grado di ricostruire i fatti e fare la vera threat intelligence su cui si basa la sicurezza informatica. Come sempre è importante sottolineare che la visibilità che possiamo avere non è completa ed esistono attività che non abbiamo ancora rilevato o non sono state ancora completamente comprese – quindi la protezione contro le minacce note e sconosciute rimane vitale per tutti.
I punti più interessanti del report sui trend APT
-I gruppi criminali di lingua russa continuano a perfezionare e lanciare nuovi strumenti e nuove operazioni. A marzo, ad esempio, Zebrocy sembra aver rivolto la sua attenzione agli eventi, ai funzionari, ai diplomatici e ai militari di Pakistan e India, oltre a mantenere un accesso continuo alle reti locali e remote del governo dell’Asia centrale. Gli attacchi di Turla hanno continuato a presentare un set di strumenti in rapida evoluzione e, in un caso significativo, l’apparente hijacking di infrastrutture appartenenti a OilRig.
-L’attività collegata alla Corea ha continuato ad essere intensa, mentre il resto dell’Asia sudorientale ha avuto meno attività di questo tipo rispetto ai trimestri precedenti. Da segnalare un attacco del gruppo Lazarus, che ha preso di mira una società di mobile gaming in Corea del Sud, e una campagna di BlueNoroff, sottogruppo di Lazarus, che ha preso di mira, invece, una banca in Bangladesh e software di crypto-currency.
I ricercatori hanno anche rilevato una campagna attiva con obiettivo gli enti governativi dell’Asia Centrale, perpetrata dal gruppo cinese APT SixLittleMonkeys e utilizzando una nuova versione del Microcin Trojan e un RAT, definito da Kaspersky HawkEye.
Il report sui trend APT rilevati nel secondo trimestre riassume i risultati dei report di threat intelligence riservati agli abbonati di Kaspersky che includono anche i dati IOC (Indicators of Compromise) e i dati e le regole YARA che supportano le indagini forensics e la caccia ai malware.
Le raccomandazioni di Kaspersky
-Fornire al proprio team SOC l’accesso alla Threat Intelligence più aggiornata per essere sempre informati sugli strumenti, le tecniche e le tattiche emergenti.
-Per il rilevamento a livello endpoint, le indagini e una reazione tempestiva agli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
-Oltre ad adottare una protezione per gli endpoint, implementare una soluzione di sicurezza di livello aziendale che rilevi le minacce avanzate a livello di rete, come la piattaforma Kaspersky Anti Targeted Attack Platform.
-Poiché molti attacchi mirati hanno sfruttano tecniche come il phishing o l’ingegneria sociale, è importante organizzare corsi di formazione sulla sicurezza, ad esempio attraverso la piattaforma Kaspersky Automated Security Awareness Platform.