Microsoft ha scoperto una campagna di cyberspionaggio effettuata dal gruppo Secret Blizzard (finanziato dal governo russo) contro il personale delle ambasciate straniere a Mosca. I cybercriminali hanno usato la tecnica AitM (Adversary-in-the-Middle) per distribuire lo spyware ApolloShadow a livello di ISP (Internet Service Provider). Il malware sfrutta certificati root che sembrano aggiornamenti degli antivirus Kaspersky.
Descrizione degli attacchi di spionaggio
Microsoft ha rilevato gli attacchi a partire dal mese di febbraio. Per la campagna di cyberspionaggio più recente è stato ottenuto l’accesso iniziale ai computer Windows delle vittime attraverso la tecnica AitM. I cybercriminali del gruppo Secret Blizzard hanno preso il controllo delle reti degli ISP e degli operatori di telecomunicazioni in Russia (ovviamente con il permesso del governo) per intercettare le richieste provenienti dalle ambasciate straniere.
Quando l’utente accede ad un “captive portal”, pagine web usate per il login ad un servizio, il browser viene reindirizzato verso un dominio controllato dai cybercriminali. L’ignara vittima vede quindi un messaggio di errore relativo ad un certificato scaduto. Se effettua il download suggerito viene installato ed eseguito ApolloShadow. Il malware mostra un pop-up per scaricare il file CertificateDB.exe che sembra l’installer di un antivirus Kaspersky. In realtà permette di ottenere privilegi elevati e la persistenza nel sistema.
ApolloShadow consente in pratica di intercettare il traffico e accedere da remoto ai computer del personale delle ambasciate. Lo scopo è ovviamente raccogliere dati riservati che possono essere utili al governo russo. Microsoft ha pubblicato tutti i dettagli tecnici e suggerito alcune misure protettive, tra cui l’uso di una VPN o di provider che offrono connessioni satellitari.
Aggiornamento
Questo è il commento di Kasperky sulla vicenda:
I brand più noti vengono spesso sfruttati come esche, senza che ne siano a conoscenza o abbiano dato il loro consenso. Raccomandiamo sempre di scaricare le applicazioni solo da fonti ufficiali e di verificare attentamente l’autenticità di qualsiasi comunicazione che dichiari di provenire da aziende affidabili. Kaspersky si impegna a proteggere tutti gli utenti da qualsiasi tipo di minaccia, indipendentemente dalla sua origine. I nostri clienti sono già protetti dalla minaccia descritta in questa ricerca. Apprezziamo il riconoscimento da parte di Microsoft della nostra precedente analisi sugli attacchi mirati condotti tramite ISP e auspichiamo una collaborazione continua all’interno della comunità della sicurezza informatica.
