Nuova campagna di cyber spionaggio contro le infrastrutture critiche di alcune organizzazioni in Medio Oriente.
Lo hanno scoperto i ricercatori della sicurezza informatica di Nyotron. L’aggressione, chiamata operazione Copperfield, sembra essere legata al furto di informazioni e alla ricognizione. Gli analisti ritengono che il gruppo hacker sia legato all’Arabia Saudita, all’Iran o all’Algeria. Questo usa un malware per colpire specifici bersagli nella regione. Il codice malevolo, chiamato Copperfield, è basato sull’H-Worm (alias Houdini). È un remote access trojan (RAT) di 4 anni fa, sviluppato da un hacker algerino. Si diffonde principalmente attraverso dispositivi USB infetti e una volta installato usa altri metodi per propagarsi. Inoltre, gli assalitori hanno usato un crittatore generico chiamato BronCoder per cambiare la struttura e l’hash del vettore. Ciò lo rende invisibile ai tipici prodotti anti-malware.
Gli hacker inseriscono nella macchina bersaglio file infetti che eseguono i comandi previsti, ma che in background fanno girare i codici malevoli
Infine, gli hacker hanno inserito nella macchina infetta file LNK malevoli con la stessa icona di quelli leciti. Questi ultimi, però, sono stati nascosti. Perciò quando un utente clicca sulla copia, si avvia il programma previsto. Ma allo stesso tempo, operano in background e in maniera invisibile anche i comandi degli aggressori. Come H-Worm, Copperfield usa un tool di automazione in Windows, chiamato Windows Script Host, per acquisire il pieno controllo del computer della vittima. Grazie a ciò si possono recuperare e trasmettere informazioni sul sistema, nonché esfiltrare dati verso un server esterno. Inoltre è possibile installare keylogger o altri malware. Ecco, perciò, come stanno avvenendo le azioni di cyber spionaggio contro una serie di obiettivi selezionati in Medio Oriente.
L’infezione del worm è partita da una chiavetta USB. Un impiegato voleva vedere il film La La Land
Nyotoron ha rilevato che la causa del cyber spionaggio alle organizzazioni in Medio Oriente, almeno in un caso, è derivata dal “fattore umano”. Inconsapevole, ma non per questo meno colpevole. Un lavoratore notturno di un’azienda ha inserito una chiavetta USB nel sistema, in quanto voleva guardare il film La La Land al suo interno. Il file scaricato, però, conteneva anche il malware Copperfield. Appena inserito nel computer questo ha cominciato a diffondersi nella macchina e poi si è esteso a tutto il network. Successivamente, il worm ha cominciato ad aggredire anche sistemi all’esterno collegati ai server.
Il server malevolo dovrebbe essere alla Mecca. Ma non è detto gli hacker siano sauditi. Potrebbero essere anche iraniani o algerini. Intanto in Medio Oriente il cyber spionaggio imperversa
Il punto di origine del cyber spionaggio in Medio Oriente sembra essere un server di comando e controllo sito alla Mecca. Questo, oltre a gestire il malware, è stato programmato con comandi specifici per caricare e scaricare dati. Alcuni elementi portano a pensare che gli aggressori siano di base in Arabia Saudita. Parte del linguaggio usato nel codice malevolo, però suggeriscono che ci siano collegamenti con l’Iran e l’Algeria. Peraltro, solo pochi giorni fa FireEye aveva denunciato un’iniziativa simile, sempre in Medio Oriente. Qualcuno si era infiltrato nell’infrastruttura critica di un complesso industriale nella regione e inavvertitamente ne aveva fermato il processo. Ciò conferma che nella zona c’è stato un aumento di attività cyber malevola e che i gruppi di attori che la perpetrano hanno aumentato la loro sofisticazione e pericolosità. A proposito, si suppone – ma non ci sono conferme formali – che agiscano per un governo della zona.
