Una nuova campagna di cyber spionaggio ha preso di mira aziende e istituzioni in Pakistan, Turchia e Tagikistan
C’è una nuova campagna di cyber spionaggio in corso, che ha preso di mira aziende e istituzioni in Pakistan, Turchia e Tagikistan. L’hanno scoperta i ricercatori della sicurezza informatica di Trend Micro. Poi, il National Cyber Security Center (NCSC) dell’Arabia Saudita ha pubblicato un bollettino per avvertire degliattacchi cibernetici. Questa presenta similitudini con MuddyWater, tanto che le due operazioni di cyberwarfare potrebbero essere collegate. Gli hacker stanno usando varie tecniche di social engineering, per far sì che le vittime abilitino le macro e attivino i payloads. Alcuni documenti contengono direttamente il malware, mentre altri rimandano a un link verso un sito malevolo. I payload sono file Visual Basic e Powershell file, in cui il primo esegue il secondo. I proxies, invece, sono centinaia di siti internet precedentemente hackerati.
Le esche dei cyber attacchi sono falsi documenti governativi e gli hacker non sembrano intenzionati a fermare le azioni di cyberwarfare
Nella campagna di cyber spionaggio, gli hacker cercano di impersonare istituzioni per aumentare la credibilità dei documenti malevoli. Infatti, in molti di loro si trovano simboli governativi e statali usati come esche. Nel caso del Tagikistan, per esempio, si tenta di spacciarsi per il ministero dell’Interno. I bersagli sono agenzie governative e società delle telecomunicazioni. Per mascherarsi usano anche caratteri cinesi (mandarino semplificato), simulando un cyber attacco false flag. Cioè un’aggressione informatica – tipica nella cyberwarfare – in cui, attraverso vari stratagemmi, si sviano gli investigatori. L’obiettivo è far credere loro che il responsabile sia un altro. A sostegno di questa tesi c’è il fatto che i messaggi sembrano essere stati tradotti da un sistema automatico e non scritti da una persona madrelingua. Resta il fatto che l’attacco con il malware ai 3 paesi è ancora in corso e non sembra che gli aggressori cibernetici siano intenzionati a cessare le attività.