La geopolitica era e rimane la principale motivazione delle Apt, le minacce avanzate persistenti (Advanced Persistant Threat), un tipo di attività cybercriminali tesa spesso allo spionaggio oppure al profitto economico, prolungata nel tempo e indirizzata su bersagli strategici. Kaspersky ci racconta qualcosa sulle sue ultime scoperte in un report riferito al secondo trimestre di quest’anno. Una delle attività scoperchiate nel mese di aprile è TajMahal: più che una singola minaccia, è un “framework Apt” altamente sofisitcato, così lo definisce Kaspersky, che è in attività da almeno cinque anni ma finora era rimasto nell’ombra. Il framework include diversi tipi di strumento d’attacco, come backdoor, loader, orchestratori, sistemi di comunicazione C2, sistemi per la registrazione audio, per la violazione di webcam e la cattura delle schermate, e ancora strumenti per il furto di chiavi crittografiche e un intero armamentario di interfacce Api. Fra le vittime di TajMahal, svela Kaspersky, c’è stato anche un “ente diplomatico di un Paese dell’Asia centrale” e altre ce ne saranno visto che è probabile che versioni di malware ancora non scoperte siano in circolazione.

 

Fra le scoperte di maggio, invece, spicca quella di una vulnerabilità zero-day di WhatsApp, sfruttata per consentire agli attaccanti di installare uno spyware con cui era possibile origliare gli utenti, leggere le loro chat (benché crittografate), attivare il microfono o la fotocamera per catturare audio e video, accedere a cronologia del browser, contatti e fotografie archiviate nei telefoni. Gli ingegneri di Facebook hanno doverosamente prodotto e rilasciato una patch il 13 maggio. Secondo alcune analisi, lo spyware in questione potrebbe essere Pegasus, di cui si è tornato a parlare in estate.

 

Nel trimestre i ricercatori di Kaspersky hanno anche scoperto attività di spionaggio informatico fondate su ragioni geopolitiche. Uno dei gruppi di cyberspionaggio individuali è Hades, forse legato a un altro gruppo di hacker russi già noto come Sofacy e autore di un tentato attacco ai danni dei Giochi Olimpici invernali del 2018 della Corea del Sud. In Medio Oriente, invece, si è vista l’attività di gruppi di noti criminali informatici di lingua persiana quali OilRig e MuddyWater: ci sono state fughe di notizie su codici, infrastrutture, dettagli sul gruppo e le presunte vittime.  

 

"Il secondo trimestre del 2019”, spiega Vicente Diaz, principal security researcher, Global Research and Analysis Team di Kaspersky, “mostra quanto sia diventato confuso e poco chiaro il panorama delle minacce e quanto spesso le cose appaiano diverse dalla realtà. Tra le altre cose, abbiamo avuto modo di osservare un autore delle minacce che ha effettuato l’hijacking di un’infrastruttura di un gruppo più piccolo e abbiamo rilevato un altro gruppo che sfruttava una serie di fughe di notizie online per diffondere disinformazione e minare la credibilità degli asset esposti”. Un’altra campagna, attiva nel trimestre, prendeva di mira gli enti governativi dell'Asia centrale: i colpevoli in questo caso erano gli hacker cinesi del gruppo noto come SixLittleMonkeys.