Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaUn nuovo gruppo di spionaggio prende di mira le telecomunicazioni in "Precisione".
Un attore di minacce precedentemente sconosciuto sta prendendo di mira le società di telecomunicazioni del Medio Oriente in quella che sembra essere una campagna di cyber-spionaggio simile a molte che hanno colpito le organizzazioni di telecomunicazioni in più paesi negli ultimi anni.
I ricercatori di SentinelOne che hanno individuato la nuova campagna hanno affermato che la stanno monitorando come WIP26, una designazione che l'azienda utilizza per l'attività che non è stata in grado di attribuire a nessuno specifico gruppo di attacchi informatici.
In un rapporto di questa settimana, hanno notato di aver osservato WIP26 utilizzare l’infrastruttura cloud pubblica per fornire malware e archiviare dati esfiltrati, nonché per scopi di comando e controllo (C2). Il fornitore di sicurezza ha valutato che l’autore della minaccia sta utilizzando la tattica, come fanno molti altri in questi giorni, per eludere il rilevamento e rendere la sua attività più difficile da individuare sulle reti compromesse.
"L'attività WIP26 è un esempio rilevante di autori di minacce che innovano continuamente i loro TTP [tattiche, tecniche e procedure] nel tentativo di rimanere furtivi e di eludere le difese", ha affermato la società.
Gli attacchi osservati da SentinelOne di solito iniziavano con messaggi WhatsApp diretti a individui specifici all’interno delle società di telecomunicazioni prese di mira in Medio Oriente. I messaggi contenevano un collegamento a un file di archivio in Dropbox che pretendeva di contenere documenti su argomenti legati alla povertà pertinenti alla regione. Ma in realtà includeva anche un caricatore di malware.
Gli utenti indotti a cliccare sul collegamento si ritrovavano con due backdoor installate sui propri dispositivi. SentinelOne ne ha trovato uno, tracciato come CMD365, che utilizzava un client di posta Microsoft 365 come C2, e la seconda backdoor, denominata CMDEmber, che utilizzava un'istanza di Google Firebase per lo stesso scopo.
Il fornitore di sicurezza ha descritto WIP26 come se utilizzasse le backdoor per condurre ricognizioni, elevare i privilegi, distribuire malware aggiuntivi e per rubare i dati privati del browser dell'utente, informazioni su sistemi di alto valore sulla rete della vittima e altri dati. SentinelOne ha valutato che molti dei dati che entrambe le backdoor hanno raccolto dai sistemi e dalla rete delle vittime suggeriscono che l'aggressore si sta preparando per un attacco futuro.
"Il vettore di intrusione iniziale che abbiamo osservato prevedeva un targeting di precisione", ha affermato SentinelOne. "Inoltre, il fatto di prendere di mira i fornitori di telecomunicazioni in Medio Oriente suggerisce che il motivo dietro questa attività sia legato allo spionaggio."
WIP26 è uno dei tanti autori di minacce che hanno preso di mira le società di telecomunicazioni negli ultimi anni. Alcuni degli esempi più recenti – come una serie di attacchi alle società di telecomunicazioni australiane come Optus, Telestra e Dialog – erano motivati dal punto di vista finanziario. Gli esperti di sicurezza hanno indicato questi attacchi come un segno di un crescente interesse nei confronti delle società di telecomunicazioni da parte dei criminali informatici che cercano di rubare i dati dei clienti o di dirottare i dispositivi mobili tramite i cosiddetti schemi di scambio SIM.
Più spesso, però, lo spionaggio informatico e la sorveglianza sono stati le motivazioni principali degli attacchi ai fornitori di telecomunicazioni. I fornitori di sicurezza hanno segnalato diverse campagne in cui gruppi di minacce persistenti avanzate provenienti da paesi come Cina, Turchia e Iran sono entrati nella rete di un fornitore di servizi di comunicazione in modo da poter spiare individui e gruppi di interesse per i rispettivi governi.
Un esempio è l’operazione Soft Cell, in cui un gruppo con sede in Cina ha fatto irruzione nelle reti delle principali società di telecomunicazioni di tutto il mondo per rubare i record dei dati delle chiamate in modo da poter rintracciare individui specifici. In un'altra campagna, un hacker rintracciato come Light Basin ha rubato la Mobile Subscriber Identity (IMSI) e i metadati dalle reti di 13 principali operatori. Nell'ambito della campagna, l'autore della minaccia ha installato malware sulle reti degli operatori che gli hanno permesso di intercettare chiamate, messaggi di testo e registri delle chiamate di persone prese di mira.