C’è un gruppo di cyber spie che ha preso di mira il settore marittimo in particolare. Sono chiamati Leviathan e sembra siano attivi almeno dal 2014.
Questa Advanced Persistent Threat (APT) è molto interessata a tutto ciò che riguarda le industrie del settore, i contractor della difesa, le istituzioni di ricerca accademiche associate, nonché le agenzie governative e legali. Lo ha scoperto Proofpoint, spiegando che l’obiettivo principale degli hacker è rubare informazioni sensibili. I loro obiettivi sono soprattutto negli Stati Uniti e in Europa Occidentale, anche se ci sono state attività nel Mar Cinese Meridionale. Si punta a dati sulla tecnologia navale e agli interessi marittimi. L’arma usata è una campagna di email phishing, legata a presunte job applications, al cui interno ci sono allegati malevoli Excel e Word.
Come l’APT conduce i suoi attacchi e quali esche usa
Nei cyber attacchi, Leviathan ha sfruttato CVE-2017-8759, una vulnerabilità del codice che permette di eseguire comandi PowerShell (attraverso scripts VisualBasic). Necessari per l’istallazione di un malware. Peraltro, l’exploit era stato scoperto solo pochi giorni prima dell’aggressione (avvenuta a settembre) e la vulnerabilità era stata patchata, ma le cyber spie hanno attaccato lo stesso. Sfruttando la lentezza delle aziende nell’aggiornare i sistemi. Inoltre, la formazione ha agito in poco tempo, in quanto ha condotto altre attività di cyber spionaggio contro il settore marittimo e della Difesa in estate. Ad agosto ha lanciato una campagna di spear-phishing sulle email con URL malevoli contro diversi contractor militari. Le esche erano varie. Da finti accordi di licenza Microsoft a messaggi da aziende che costruiscono navi, imbarcazioni militari e sommergibili. Di conseguenza, hanno capacità avanzate, che garantiscono loro di sviluppare nuovi vettori di attacco in un tempo molto breve e di colpire più obiettivi distinti.
Sono ancora poche le informazioni per collegare con certezza Leviathan a una nazione
Leviathan come grimaldello usa una serie di trojan, tra cui Orz (anche noto come Core) e NanHaiShu per recuperare informazioni, caricare o scaricare files ed eseguire comandi. Quest’ultimo malware è stato impiegato in diverse cyber campagne, inclusa una contro governi e organizzazioni coinvolte nella disputa sul territorio e la sovranità nel Mar Cinese Meridionale. In questa occasione sembra, infatti, che gli hacker abbiano lavorato per il governo di Pechino. Per quanto riguarda le altre offensive, invece, soprattutto quelle legate al settore marittimo (contractor navali e della difesa) Proofpoint fa sapere che non ci sono abbastanza informazioni per collegare il gruppo a un governo in particolare.
La nota di Proofpoint in cui spiega quali sono i bersagli degll’APT e come li attacca