La squadra russa di hacker Fancy Bear (alias APT28) non si concentra solo sull’ingerenza nelle elezioni e sulla rappresaglia contro le agenzie antidoping . Symantec ha osservato Fancy Bear dirigere operazioni di raccolta di informazioni sugli hacker in Europa e in Sud America, inclusi governi, obiettivi militari, un’ambasciata e una “ben nota organizzazione internazionale”. Il gruppo ha utilizzato un insieme comune di strumenti per condurre la campagna, anche se ha recentemente ampliato il suo repertorio per includere gli hack che sono molto più difficili da fermare.

L’azienda russa si basa principalmente su un’infezione da malware a due stadi. Un trojan soprannominato Sofacy (aka Seduploader) gestisce la ricognizione iniziale e scarica ulteriori malware, mentre una backdoor nota come SofacyX ( X-Agent ) ruba le informazioni dal computer. Per gli attacchi più persistenti, esiste un rootkit Lojax che si rivolge alla piattaforma UEFI sottostante molti computer moderni. Poiché si trova nella memoria flash a bordo del firmware di un computer, Lojax può sopravvivere anche se si sostituisce il disco rigido o si reinstalla il sistema operativo.

La campagna degli attacchi informatici potrebbe essere più ampia di questa. Un altro gruppo, Earworm, ha utilizzato campagne email di spear-phishing contro obiettivi militari in Asia e in Europa con alcune sovrapposizioni tra il suo sistema di controllo e quello di Fancy Bear. Le sue operazioni sono separate, tuttavia, suggerendo che potrebbe essere un’altra operazione russa piuttosto che un’estensione di Fancy Bear.

Una campagna di spionaggio globale in corso non sarebbe sorprendente. Non è solo il fatto che la Russia abbia un interesse particolare a tenere sotto controllo i suoi rivali politici: è che ci vogliono poche risorse per condurre queste campagne in primo luogo. Quanto poco spende il reclutamento di hacker dedicati potrebbe enormemente pagare dividendi raccogliendo più intelligenza e minando le istituzioni.

Lascia un commento

Please Login to comment
avatar