Grossa rivelazione da Eset, azienda nel settore della cybersecurity: a partire dal 2020, il cybergruppo filorusso Turla potrebbe aver compromesso un ministero degli affari esteri europeo e le sue missioni diplomatiche in Medio Oriente, attraverso due backdoor – ossia un codice o una serie di comandi, conosciuti generalmente solo dallo sviluppatore, che consentono l’accesso a un software o un sistema – denominate LunarWeb e LunarMail. “Abbiamo osservato diversi gradi di sofisticazione nelle compromissioni: per esempio, l’attenta installazione sul server violato per evitare la scansione da parte del software di sicurezza contrastava con gli errori e i diversi stili di codifica delle backdoor. Ciò suggerisce che probabilmente più persone sono state coinvolte nello sviluppo e nel funzionamento di questi strumenti”, ha dichiarato Filip Jurčacko, uno dei ricercatori coinvolti nel lavoro di Eset.
A quanto pare, infatti, entrambe le backdoor utilizzano la steganografia, una tecnica in cui i comandi vengono nascosti all’interno delle immagini per evitare che vengano rilevati dai sistemi di sicurezza. Ma come hanno fatto i cybercriminali a intrufolarsi nella rete di un ministero? Secondo quanto riportato dai ricercatori, la violazione ha avuto inizio da un episodio di spearphishing, ossia un attacco di phishing che colpisce un individuo – o un gruppo di individui – all’interno di un’organizzazione, cercando di convincerli a condividere informazioni sensibili, scaricare malware, autorizzare pagamenti e via dicendo.
Una volta entrati, i criminali hanno avuto modo di utilizzare la backdoor LunarWeb per raccogliere ed esfiltrare “informazioni dal sistema, come informazioni sul computer e sul sistema operativo, elenchi di processi in esecuzione, di servizi e di prodotti di sicurezza installati”. Allo stesso modo, LunarMail veniva utilizzata per raccogliere “informazioni dai messaggi e-mail inviati dai destinatari”. Nel complesso, quindi, entrambe le backdoor hanno dato ai criminali filorussi di Turla la possibilità di accedere a una quantità incredibile di informazioni sensibili del loro obiettivo, mettendo a rischio ben tre missioni diplomatiche in Medio Oriente.
Fonte : Wired
