I ricercatori di Kaspersky Lab hanno scoperto un’ondata di attacchi mirati di cyberspionaggio diretti ad organizzazioni diplomatiche in Asia Centrale.
Il Trojan chiamato “Octopus”, “mascherato” per essere scambiato per la popolare e legittima app di messaggistica online Telegram, sfruttava la notizia di un possibile ban dell’applicazione di messaggistica nella regione. Una volta installata, Octopus ha fornito agli aggressori gli accessi remoti dei computer delle vittime.
Gli autori delle minacce ricercano costantemente notizie sfruttabili e adeguano le loro tecniche per colpire la privacy degli utenti e sottrarre le informazioni sensibili in tutto il mondo. In questo caso, il possibile divieto di utilizzare Telegram ha consentito agli autori delle minacce di pianificare gli attacchi usando l’Octopus Trojan, che ha dato agli hacker l’accesso remoto al computer delle vittime.
Gli autori delle minacce hanno inserito l’Octopus all’interno di un archivio “travestito” da una versione alternativa di Telegram per gli oppositori kazaki. Il launcher era camuffato con un simbolo attribuibile a una delle parti politiche di opposizione della regione, e il Trojan era nascosto all’interno. Una volta attivato, il Trojan ha dato agli autori del malware l’opportunità di eseguire varie operazioni sul computer infetto, tra cui cancellazione, blocco, modifica, copia e scaricamento dei dati. In questo modo, gli aggressori sono stati in grado di spiare le vittime, rubare i dati sensibili e ottenere l’accesso backdoor ai sistemi. Lo schema ha molte somiglianze con la famosa operazione di cyberspionaggio chiamata Zoo Park, in cui il malware usato per l’APT imitava l’applicazione Telegram per spiare le vittime.
Usando gli algoritmi elaborati da Kaspersky che riconoscono le somiglianze nel codice del software, i ricercatori di sicurezza hanno scoperto che Octopus può essere collegato a DustSquad – un autore di cyberspionaggio di lingua russa precedentemente rilevato in paesi dell’ex Unione Sovietica in Asia Centrale, così come in Afghanistan, dal 2014. Negli ultimi due anni, i ricercatori hanno rilevato quattro loro campagne con malware per Android e Windows che hanno come obiettivo sia utenti privati che enti diplomatici.