20/08/2015 di Redazione

La pesante eredità di Hacking Team: primi attacchi zero-day

Secondo Kaspersky Lab, il gruppo cybercriminale Darkhotel starebbe utilizzando alcune tecniche sviluppate dalla compagnia di spionaggio italiana per “assaltare” le reti WiFi degli alberghi e penetrare così nei dispositivi di importanti dirigenti d’azienda

immagine.jpg

La “fuga” di materiale riservato e di notizie dall’azienda italiana Hacking Team, colpita da un pesante attacco informatico lo scorso luglio, comincia a dare i primi frutti. E sono frutti marci, perché generati dall’utilizzo improprio delle tecnologie e delle tecniche di spionaggio sviluppate negli anni dalla compagnia milanese. Secondo Kaspersky Lab, infatti, il gruppo Darkhotel, dedito a intrufolarsi nelle reti private degli hotel di tutto il mondo per accedere poi ai dispositivi di manager e capi azienda, starebbe sfruttando il know how di Hacking Tram per intensificare i propri attacchi. La via d’accesso preferita sarebbe Adobe Flash Player, già “coccolato” dagli esperti dell’azienda italiana e trattato sostanzialmente come un colabrodo. Una delle email più celebri trafugate dagli archivi di Hacking Team riporta proprio la seguente frase, scritta da un dipendente: “È la vulnerabilità più bella di Flash degli ultimi quattro anni”.

Kaspersky sostiene che Darkhotel, pur non essendo mai stato cliente di Hacking Team, dopo il 5 luglio (data dell’attacco) abbia utilizzato una vulnerabilità di tipo zero-day parte della “collezione” della società milanese. Con tutta evidenza, quindi, Darkhotel ha attinto a piene mani dai quattrocento gigabyte di file e documenti finiti online dopo l’incursione nei sistemi di Hacking Team.

Ma l’attività di Darkhotel è sempre stata intensa, anche prima del pasticciaccio brutto che ha coinvolto la compagnia di spionaggio milanese. Nel 2015, il gruppo di hacker ha esteso la propria sfera geografica di influenza in tutto il mondo, continuando a colpire tramite spearphishing obiettivi situati in Nord e Sud Corea, Russia, Giappone, Bangladesh, Thailandia, India, Mozambico e Germania. I ricercatori di Kaspersky hanno registrato tecniche e attività condotte da Darkhotel, inclusa una famosa Advanced Persistent Threat (Apt) attiva da almeno otto anni.

Negli attacchi, risalenti fino al 2014, il collettivo ha abusato di certificati di firma del codice rubati e utilizzato anche metodi insoliti, come la compromissione della rete WiFi di un hotel per collocare programmi e tool di spionaggio nei sistemi vittima. A luglio 2015, però, la fuga di notizie di Hacking Team ha rappresentato una manna dal cielo per Darkhotel, che è riuscito a rinforzare il proprio esercito, affiancando alle tecniche di social-engineering tramite spoofing le diverse vulnerabilità zero-day sviluppate dall’azienda meneghina.

 

Fonte: Kaspersky

 

Tra i metodi di attacco utilizzati, è possibile elencare l’utilizzo continuo di certificati rubati: Darkhotel sembra essere in possesso di una scorta di documenti elettronici che sfrutta per firmare downloader e backdoor e ingannare le reti prese di mira. Alcuni tra i certificati revocati più di recente comprendono Xuchang Hongguang Technology Co. Ltd, l’azienda i cui documenti erano stati utilizzati negli attacchi condotti in precedenza dai cybercriminali.

 

ARTICOLI CORRELATI