Bitdefender ha individuato una serie di attacchi basati su malware 0 day, usati per attività fraudolente in almeno un caso di concorrenza.
Una delle società coinvolte nell’attacco è impegnata in progetti di architettura con costruttori di immobili di lusso a New York, Londra, Australia e in Oman. I clienti e i progetti dell’azienda coinvolgono residenze di lusso, architetti di alto profilo e interior designer di fama mondiale.
L’indagine di Bitdefender ha rivelato che il gruppo di criminali informatici si è infiltrato nell’azienda utilizzando un plugin contaminato e realizzato per Autodesk 3ds Max, utilizzato nella computer grafica 3D. Durante l’indagine, i ricercatori di Bitdefender hanno anche scoperto che gli hacker avevano un intero set di strumenti con potenti capacità di spionaggio.
Sulla base della telemetria di Bitdefender, sono stati rilevati anche altri esempi di malware simili, in Corea del Sud, Stati Uniti, Giappone e Sudafrica. Questi comunicano con lo stesso server di comando e controllo, risalenti a poco meno di un mese fa.
Spionaggio informatico e concorrenza
L’indagine ha anche scoperto che l’infrastruttura di comando e controllo utilizzata dal gruppo di criminali informatici per testare il proprio payload malevolo contro la soluzione di sicurezza della società presa di mira, si trova in Corea del Sud.
Per realizzare questo attacco di spionaggio informatico contro la concorrenza il gruppo hacker potrebbe aver sfruttato una vulnerabilità sconosciuta di Autodesk.
Questo ha permesso di installare un componente infetto.
Ha inoltre consentito al gruppo di interagire con il computer della vittima e quindi di installare ulteriori elementi compromessi.
È stato solo nel corso di agosto che Autodesk ha fornito assistenza, consigli e una soluzione per risolvere la vulnerabilità precedentemente sconosciuta. In sostanza, gli aggressori hanno utilizzato un malware Zero-day (all’epoca) per le loro violazioni.
Liviu Arsene, Senior Security Analyst di Bitdefender
Questa non sembra essere una campagna che ha l’obiettivo di colpire più vittime, ma un attacco altamente mirato che ha come target una sola vittima. Non sappiamo quando sia iniziato l’attacco, poiché la nostra indagine è iniziata dopo la violazione. Al momento della pubblicazione del nostro report, l’infrastruttura di comando e controllo era ancora attiva. Il che indica potenzialmente che è ancora utilizzata da altri malware.
Dal 2019 stiamo assistendo alla mercificazione di questo mercato da parte di gruppi di hacking altamente qualificati e specializzati. Non sono più solo una componente del cyberwarfare globale e offrono servizi di hacker a noleggio al “libero mercato”. Bitdefender ritiene che, come dimostrato da questa ricerca, i gruppi APT siano ora utilizzati nello spionaggio informatico contro la concorrenza in vari settori.