Hacker russi spiavano la NATO, l'Ucraina, l'Unione Europea e gli USA tramite una falla zero-day di Windows.


In questi giorni iSight Partners, (noto gruppo di esperti nel campo delle cyber-minacce e dell'intelligence), ha rivelato che nel corso di quest'anno un gruppo di hacker russi ha eseguito diversi attacchi informatici contro la NATO, il governo ucraino, diverse agenzie governative dell'Unione Europea, alcune organizzazioni accademiche degli Stati Uniti ed altre aziende del settore energetico e di telecomunicazioni europee. In pratica per mettere in atto queste attività di cyberspionaggio, (che per la precisione sono iniziate a fine 2013), è stata sfruttata una cosiddetta "vulnerabilità zero-day" presente in tutte le versioni di Windows attualmente supportate. Entrando più nel dettaglio, il gruppo di cybercriminali in questione, (che si fa chiamare Sandworm Team), esiste dal 2009, ma solo negli ultimi mesi ha iniziato a lasciare tracce del suo operato: ad inizio Settembre iSight Partners ha, appunto, scoperto una campagna di cyberspionaggio contro il governo ucraino ed i membri della NATO, che avevano partecipato al summit in Galles, durante il quale sono stati discussi i piani per fronteggiare l'invasione russa. Inoltre gli attacchi in questione sono stati eseguiti attraverso la tecnica del cosiddetto "spear phishing"; infatti, sfruttando la suddetta vulnerabilità zero-day di Windows, il team di hacker russi è riuscito ad accedere a diversi documenti riservati. In sostanza questo bug era presente nel package manager OLE, (sigla che significa Object Linking and Embedding), il quale consente di scaricare ed eseguire file in formato INF. Ad ogni modo in questo caso, il package in questione ha permesso ad un oggetto OLE di scaricare un file da una fonte esterna e di eseguire codice remoto. Tra l'altro i cybercriminali di Sandworm Team hanno usato metodi di social engineering per convincere gli utenti ad aprire un file infetto, vale a dire una presentazione PowerPoint. Fortunatamente la diffusione di questo meccanismo è limitata, in quanto per il momento il bug è stato sfruttato solo dal Sandworm Team. Ma tuttavia, considerato che si tratta di una vulnerabilità presente in tutte le versioni di Windows, il problema interessa un numero enorme di utenti; per questo motivo è, infine, necessario procedere il prima possibile all'installazione delle patch che la stessa Microsoft ha recentemente rilasciato per risolvere un totale di 24 vulnerabilità, di cui 14 presenti in tutte le versioni di Internet Explorer.

Di seguito un'immagine che mostra gli attacchi in questione:
http://i1-news.softpedia-static.com/images/news2/Five-Year-Long-Russian-Cyber-Espionage-Campaign-Exploits-Windows-Zero-Day-462017-2.jpg

Commenti