CYBERSECURITY

Malware, torna alla ribalta Olympic Destroyer: nel mirino il Nordest europeo

Le organizzazioni di protezione contro attacchi chimici e biologici il prossimo bersaglio della minaccia che aveva colpito i Giochi Olimpici Invernali di Pyeongchang. Kaspersky Lab: “Serve cooperazione tra privati e governi per arginare questo tipo di rischio”

Pubblicato il 19 Giu 2018

cybersecurity-170508160824

Malware, torna in scena Olympic Destroyer, il malware che ha colpito durante l’apertura dei Giochi Olimpici Invernali di Pyeongchang con un worm di rete distruttivo. Lo ha scoperto il team di Kaspersky Lab, secondo il quale il gruppo di hacker dietro questa minaccia è ancora attivo. Cambiano però gli obiettivi: nel mirino ora ci sono Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia. L’attenzione è rivolta in particolare alle organizzazioni che si occupano di protezione contro le minacce chimiche e biologiche.

Olympic Destroyer è una minaccia avanzata che ha colpito gli organizzatori, i fornitori e i partner dei Giochi Olimpici Invernali 2018 a Pyeongchang, in Corea del Sud, attraverso un’operazione di cyber sabotaggio basata su un worm di rete distruttivo. Le indicazioni riguardo le origini dell’attacco erano confuse, ma alcuni dettagli, rari e sofisticati, scoperti da Kaspersky Lab hanno suggerito che il gruppo dietro l’operazione fosse Lazarus: un noto gruppo di hacker legato alla Corea del Nord. Tuttavia, a marzo, gli esperti hanno affermato che si trattava di un caso di false flag, ed era improbabile che Lazarus ne fosse l’artefice. Di recente i ricercatori hanno scoperto che l’operazione Olympic Destroyer è di nuovo attiva, utilizzando alcuni dei suoi strumenti originali di infiltrazione e ricognizione, concentrandosi però su obiettivi in Europa.

L’attore delle minacce sta diffondendo il suo malware attraverso documenti di spear-phishing che assomigliano molto ai documenti utilizzati nella preparazione delle operazioni delle Olimpiadi Invernali. Uno di questi “documenti esca” faceva riferimento alla “Spiez Convergence”, una conferenza sulle minacce biochimiche tenutasi in Svizzera e organizzata dallo Spiez Laboratory, un’organizzazione che ha svolto un ruolo chiave nell’inchiesta dedicata all’attacco di Salisbury. Un altro documento era destinato ad un ente dell’autorità di controllo sanitario e veterinario dell’Ucraina. Alcuni dei documenti di spear-phishing scoperti dai ricercatori contengono parole in russo e tedesco.

Tutti i payload finali estratti dai documenti dannosi sono stati progettati per fornire accesso generico ai computer compromessi. Per la seconda fase dell’attacco è stato utilizzato un framework open source e gratuito, noto come Powershell Empire.

“L’analisi di queste minacce – dice Vitaly Kamluk, Head of Apac Research Team di Kaspersky Lab – dovrebbe essere basata sulla cooperazione tra il settore privato e i governi e andare oltre i confini nazionali. Ci auguriamo che, condividendo le nostre scoperte pubblicamente, i tecnici di incident response e i ricercatori di sicurezza potranno essere in una posizione migliore per poter riconoscere e mitigare, in futuro, tale attacco”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati