Gli esperti della Unit 42 di Palo Alto Networks hanno scoperto un’imponente campagna di spionaggio, denominata Shadow Campaigns, effettuata contro le reti di governi e infrastrutture critiche di 155 paesi, Italia inclusa. Lo scopo è ovviamente raccogliere informazioni sensibili. I cybercriminali non sono stati identificati (il nome temporaneo è TGR-STA-1030/UNC6619), ma è certo che operano dall’Asia.
Descrizione della campagna di spionaggio
Secondo i ricercatori sono state compromesse le reti di almeno 70 organizzazioni in 37 paesi, tra cui ministeri e dipartimenti (esteri, finanze, commercio, economia, giustizia), oltre ad un parlamento, aziende di telecomunicazioni e forze di polizia. I cybercriminali hanno sfruttato diverse tecniche. Una di esse è il phishing.
L’email sembra provenire da un mittente fidato. Nel testo è presente il link ad un archivio ZIP ospitato su MEGA. Al suo interno c’è il loader Diaoyu che, dopo aver verificato la presenza di alcuni antivirus, scarica un paylod Cobalt Strike, noto tool di sicurezza che viene usato per scopi illeciti.
L’accesso alle reti viene effettuato anche sfruttando varie vulnerabilità di popolari software, tra cui Windows, Microsoft Exchange Server, SQL e SAP Solution Manager, oltre che dei router D-Link. L’arsenale dei cybercriminali include tool di tunneling, web shell e un nuovo rootkit per Linux, denominato ShadowGuard, che consente di eseguire numerose operazioni con privilegi root.
L’infrastruttura usata per gli attacchi è formata dai server di noti provider VPS (Virtual Private Server) che si trovano in Regno Unito, Stati Uniti e Singapore. Per nascondere la provenienza del traffico vengono utilizzati proxy residenziali e rete Tor.
I ricercatori di Palo Alto Networks hanno pubblicato tutti i dettagli della campagna di spionaggio contro i vari paesi e fornito utili consigli per rilevare/bloccare gli attacchi.
