APC
Kaspersky Lab annuncia il ritorno del malware Olympic Destroyer

Kaspersky Lab annuncia il ritorno del malware Olympic Destroyer

Sotto attacco Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia.

Pubblicato: 19/06/2018 16:55

di: Redazione BitCity.it

   

Olympic Destroyer è una minaccia avanzata che ha colpito gli organizzatori, i fornitori e i partner dei Giochi Olimpici Invernali 2018 a Pyeongchang, in Corea del Sud, attraverso un'operazione di cyber sabotaggio basata su un worm di rete distruttivo. Le indicazioni riguardo le origini dell'attacco erano confuse, ma alcuni dettagli, rari e sofisticati, scoperti da Kaspersky Lab hanno suggerito che il gruppo dietro l'operazione fosse Lazarus: un noto gruppo di hacker legato alla Corea del Nord.
Tuttavia, a marzo, gli esperti di Kaspersky Lab hanno affermato che si trattava di un caso di false flag, ed era improbabile che Lazarus ne fosse l'artefice. Di recente i ricercatori hanno scoperto che l'operazione Olympic Destroyer è di nuovo attiva, utilizzando alcuni dei suoi strumenti originali di infiltrazione e ricognizione, concentrandosi però su obiettivi in Europa. L'attore delle minacce sta diffondendo il suo malware attraverso documenti di spear-phishing che assomigliano molto ai documenti utilizzati nella preparazione delle operazioni delle Olimpiadi Invernali.
Uno di questi "documenti esca" faceva riferimento alla "Spiez Convergence", una conferenza sulle minacce biochimiche tenutasi in Svizzera e organizzata dallo Spiez Laboratory, un'organizzazione che ha svolto un ruolo chiave nell'inchiesta dedicata all'attacco di Salisbury. Un altro documento era destinato ad un ente dell'autorità di controllo sanitario e veterinario dell'Ucraina. Alcuni dei documenti di spear-phishing scoperti dai ricercatori contengono parole in russo e tedesco. Tutti i payload finali estratti dai documenti dannosi sono stati progettati per fornire accesso generico ai computer compromessi.
Per la seconda fase dell'attacco è stato utilizzato un framework open source e gratuito, noto come Powershell Empire. Sembra che gli aggressori utilizzino webserver legittimi compromessi per ospitare e controllare il malware. Questi server utilizzano un noto sistema di gestione dei contenuti open source (CMS) chiamato Joomla. I ricercatori hanno scoperto che uno dei server che ospita il payload dannoso utilizzava una versione di Joomla (v1.7.3) rilasciata a novembre 2011, e questo suggerisce che una variante molto obsoleta del CMS avrebbe potuto essere utilizzata dagli hacker per attaccare i server.
In base alla telemetria di Kaspersky Lab e ai file caricati su servizi multi-scanner, sembra che gli interessi di questa campagna Olympic Destroyer siano rivolti verso Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia. 
"All'inizio di quest'anno, la comparsa di Olympic Destroyer e la rilevazione dei sofisticati tentativi di inganno hanno fatto cambiare idea riguardo al gioco di attribuzione, dimostrando quanto sia facile commettere un errore utilizzando solo i frammenti dell'immagine visibili ai ricercatori. L'analisi di queste minacce dovrebbe essere basata sulla cooperazione tra il settore privato e i governi e andare oltre i confini nazionali. Ci auguriamo che, condividendo le nostre scoperte pubblicamente, i tecnici di incident response e i ricercatori di sicurezza potranno essere in una posizione migliore per poter riconoscere e mitigare, in futuro, tale attacco", ha commentato Vitaly Kamluk, Head of Apac Research Team di Kaspersky Lab





Ultime News
Da TomTom un nuovo servizio per ridurre il traffico

Da TomTom un nuovo servizio per ridurre il traffico

TomTom lancia Origin/Destination Analysis per una migliore pianificazione urbanistica. Un nuovo...

Allarme polizia postale: estorsione via mail per aver visitato siti porno

Allarme polizia postale: estorsione via mail per aver visitato siti porno

I cybercriminali minacciano gli utenti di divulgare a tutti il tipo di siti visitati e la...

Giovani consumatori digitali italiani: appassionati di elettronica e videogames

Giovani consumatori digitali italiani: appassionati di elettronica e videogames

idealo ritrae i consumatori digitali tra i 18 e i 24 anni. La città con più “giovani digital” è...

Accordo LVenture Group - Facebook: nell'hub romano arriva 'Binario F from Facebook'

Accordo LVenture Group - Facebook: nell'hub romano arriva 'Binario F from Facebook'

Siglato un accordo tra LVenture Group e Facebook per ospitare alla Stazione Termini il nuovo...

Nextdoor, l'app per vicini di casa, arriva in Italia

Nextdoor, l'app per vicini di casa, arriva in Italia

La app di quartiere che facilita e promuove le relazioni locali attiva in più di 200.000...

Google Pay in Italia, ecco le banche aderenti (prossimamente anche Poste Italiane)

Google Pay in Italia, ecco le banche aderenti (prossimamente anche Poste Italiane)

Per ora le banche che supporteranno il servizio sono: Banca Mediolanum, Boon, HYPE, Nexi, N26,...

I piu' letti
Per Voi


Uspi BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.

G11Media