I criminali informatici russi vanno volentieri a caccia di dati e di segreti industriali, ma altre volte il loro fine ultimo sono i soldi. La “stagione della caccia” per gli autori di una grande campagna di spear phishing, scoperta da Kaspersky Lab, è cominciata nell’autunno del 2017 e non è ancora finita. La tempesta di email truffaldine si è abbattuta in questi mesi su più di 400 organizzazioni industriali, la maggior parte delle quali collocate in Russia, soprattutto appartenenti ai settori energia, oil&gas, metallurigia, edilizia e logistica. Circa 800 le persone raggiunte su altrettanti Pc aziendali presi di mira. Da qui, l’attacco poteva poi propagarsi altrove.
I messaggi si spacciavano per comunicazioni varie in tema di appalti, acquisti e altre questioni contabili. Le email avevano le sembianze di comunicazioni legittime in ambito di appalti, acquisti e altre questioni contabili, ed erano confezionate in modo abbastanza sofisticato in modo da apparire credibili: gli arogmenti erano coerenti con il business dell’azienda bersaglio e addirittura con il singolo destinatario. In alcuni casi, addirittura, ci si rivolgeva per nome all’utente con comunicazioni personalizzate.
Oltre a chiedere alla vittima di fornire una serie di dati, si inviavano degli allegati malevoli. In caso di download veniva installato sul computer e in modo discreto un software legittimo modificato: attraverso di esso, i criminali potevano esaminare documenti e software sul computer infettato, spiando le operazioni di approvvigionamento, finanziarie o contabili dell’azienda. Potevano, inoltre, manomettere dati, per esempio modificando i beneficiari delle fatture per ottenere illecitamente dei guadagni.
Non è tutto: chi ha compiuto questi attacchi ha anche potuto ottenere privilegi di admin sui dispositivi o rubare credenziali di autenticazione di un utente o account Windows, e così facendo ha installato ulteriori malware e funzionalità. Scopi e strumenti potevano variare, tra spyware, strumenti aggiuntivi di amministrazione da remoto, malware che sfruttano vulnerabilità nel sistema operativo e poi ancora Mimikat, uno strumento che consente di ottenere dati dagli account Windows.