• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Cloud
  • Industry 4.0
  • Sanità Digitale
  • ReStart in Green
  • Redazione
  • Contattaci
LineaEDP
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • SAS: la potenza degli analytics e dell’AI al servizio della tua azienda
    • Dedagroup cresce in Toscana
    • Polo Strategico Nazionale: al via la migrazione per le PA centrali
    • Il Public Cloud Netalia abilitato da ACN
    • Multi-cloud networking tra sfide e opportunità
    • Auger di Allied Telesis monitora le prestazioni di rete
    • L’aggiornamento tecnologico s’ha da fare
    • Email Archive di Retarus: perché conviene
    Facebook Twitter Vimeo LinkedIn RSS
    LineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDP
    Sei qui:Home»News»Sofacy/Fancy Bear: Medio Oriente nel mirino
    News

    Sofacy/Fancy Bear: Medio Oriente nel mirino

    Di Redazione LineaEDP13/03/2018Updated:12/03/2018Lettura 4 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Il gruppo espande il suo raggio d’azione, sovrapponendosi ad altri gruppi criminali

    I ricercatori di Kaspersky Lab hanno scoperto che il gruppo criminale di lingue russa Sofacy, anche noto come APT28 o Fancy Bear, sta spostando il proprio interesse verso l’Estremo Oriente, con un forte focus sulle organizzazioni militari, diplomatiche e della difesa, oltre ai tradizionali obiettivi legati alla NATO. I ricercatori hanno scoperto che in alcuni casi Sofacy si sovrappone ad altri gruppi criminali, come il gruppo di lingua russa Turla e quello di lingua cinese Danti. Sorprendentemente, sono state scoperte alcune backdoor di Sofacy su un server precedentemente compromesso dal gruppo criminale di lingua inglese The Lamberts. Il server appartiene a un conglomerato militare e aerospaziale in Cina.

    Sofacy è un gruppo di cyberspionaggio altamente attivo e prolifico, la cui attività viene studiata dai ricercatori di Kaspersky Lab da diversi anni. A febbraio, Kaspersky Lab ha pubblicato una panoramica dell’attività di Sofacy nel 2017, rivelando un graduale spostamento dell’interesse del gruppo dagli obiettivi legati alla NATO verso Medio Oriente, Asia Centrale e oltre. Sofacy utilizza attacchi di spear-phishing e, in alcuni casi, water-holing per rubare informazioni, come credenziali degli account, comunicazioni o documenti sensibili. Il gruppo è sospettato anche di colpire diversi obiettivi con payload distruttivi.

    Le nuove scoperte mostrano che Sofacy non è l’unica minaccia che prende di mira queste regioni e che spesso gruppi criminali molto diversi colpiscono gli stessi obiettivi. Riguardo a Sofacy, i ricercatori hanno scoperto alcuni casi in cui il malware Zebrocy del gruppo è entrato in competizione con i cluster della campagna in lingua russa Mosquito Turla e altri in cui la backdoor SPLM ha fatto concorrenza agli attacchi tradizionali di Turla e del gruppo di lingua cinese Danti. Gli obiettivi condivisi includono la Pubblica Amministrazione, organizzazioni tecnologiche, scientifiche e militari dell’Asia Centrale o basate in quei Paesi.

    In alcuni casi, gli obiettivi sembrano essere stati colpiti contemporaneamente dagli attacchi di SPLM e Zebrocy. Tuttavia, la sovrapposizione più interessante è probabilmente quella tra Sofacy e il gruppo criminale di lingua inglese The Lamberts, scoperta dopo che i ricercatori di Kaspersky Lab hanno rilevato la presenza di Sofacy su un server precedentemente riconosciuto dalla threat intelligence come compromesso dal malware Grey Lambert. Il server appartiene a un conglomerato cinese che progetta e produce tecnologie aerospaziali e per la difesa aerea.

    Tuttavia, in questo caso il vettore di diffusione originale di SPLM di Sofacy rimane ignoto. Questo suggerisce diverse ipotesi, tra cui il fatto che Sofacy potrebbe utilizzare un nuovo e attualmente sconosciuto exploit o una nuova variante della propria backdoor, oppure che Sofacy sia riuscito a sfruttare i canali di comunicazione di Grey Lambert per effettuare il download del proprio malware. Potrebbe persino significare che gli indicatori di Sofacy siano una false flag, impiantata dal gruppo The Lamberts. I ricercatori credono che la spiegazione più probabile sia che sia stato sfruttato un nuovo script PowerShell ignoto o una web app legittima ma vulnerabile per caricare ed eseguire il codice SPLM. L’indagine è attualmente in corso.

    “Sofacy viene talvolta descritto come feroce e sconsiderato ma, secondo il nostro punto di vista, il gruppo sa essere pragmatico, cauto e agile. La sua attività in Oriente è stata poco riportata ma è evidente che non si tratta dell’unico gruppo criminale interessato a questa regione – o persino agli stessi obiettivi. Con un panorama delle minacce sempre più affollato e complesso, potremmo incontrare sempre più casi di sovrapposizione degli obiettivi – fattore che potrebbe spiegare come mai molti gruppi controllino i sistemi delle vittime alla ricerca di altri intrusi prima di lanciare i propri attacchi”, ha commentato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.

    I ricercatori hanno inoltre scoperto che Sofacy suddivide chiaramente i propri tool principali con cluster per la codifica, lo sviluppo e la selezione degli obiettivi di SPLM (anche noto come CHOPSTICK e Xagent), GAMEFISH e Zebrocy. SPLM è considerato il tool di secondo livello principale e più selettivo di Sofacy, mentre Zebrocy viene utilizzato per gli attacchi più ampi. Secondo i ricercatori, all’inizio del 2018 Sofacy ha attaccato con SPLM grandi organizzazioni commerciali legate alla difesa aerea situate in Cina, mentre ha diffuso Zebrocy in modo più ampio in Armenia, Turchia, Kazakistan, Tagikistan, Afghanistan, Mongolia, Cina e Giappone.

    cyber-crime Kaspersky Lab
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • Twitter

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    SAS: la potenza degli analytics e dell’AI al servizio della tua azienda

    01/06/2023

    Dedagroup cresce in Toscana

    01/06/2023

    L’aggiornamento tecnologico s’ha da fare

    01/06/2023
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    SPECIALE ITG: IL MEGLIO DI SPS 2023
    Emerson: Floor to Cloud
    Efficienza e produttività targati Leuze
    Il futuro dell’automazione passa dall’Intelligenza Artificiale
    Manager in 9 minuti: Daniele Lopizzo
    Defence Tech

    Email Archive di Retarus: perché conviene

    01/06/2023

    Massiccia campagna malspam: colpita anche l’Italia

    31/05/2023

    Il ransomware guida la professionalizzazione del crimine informatico

    31/05/2023

    Sostenibilità e servizi di sicurezza, un equilibrio possibile

    31/05/2023
    Report

    Le PMI europee investono in tecnologia

    26/05/2023

    Sviluppatori: nove su dieci sono al limite della capacità produttiva

    26/05/2023

    Spring: le architetture moderne continuano a crescere

    22/05/2023

    Network aziendale al centro della digital transformation

    17/05/2023
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Ultime

    SAS: la potenza degli analytics e dell’AI al servizio della tua azienda

    01/06/2023

    Dedagroup cresce in Toscana

    01/06/2023

    Polo Strategico Nazionale: al via la migrazione per le PA centrali

    01/06/2023
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2023 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare