Kaspersky Lab: i nuovi obiettivi del malware Olympic Destroyer

Secondo Kaspersky Lab il malware che ha preso di mira le olimpiadi di Pyeongchang cambia target. I nuovi obiettivi potrebbero essere Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia,

I ricercatori di Kaspersky Lab, che monitorano Olympic Destroyer, il malware che ha colpito durante l’apertura dei Giochi Olimpici Invernali di Pyeongchang con un worm di rete distruttivo, hanno scoperto che il gruppo di hacker dietro questa minaccia è ancora attivo. Sembra però che abbia preso di mira Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia, con particolare attenzione alle organizzazioni che si occupano di protezione contro le minacce chimiche e biologiche.

Olympic Destroyer è una minaccia avanzata che ha colpito gli organizzatori, i fornitori e i partner dei Giochi Olimpici Invernali 2018 a Pyeongchang, in Corea del Sud, attraverso un’operazione di cyber sabotaggio basata su un worm di rete distruttivo. Le indicazioni riguardo le origini dell’attacco erano confuse, ma alcuni dettagli, rari e sofisticati, scoperti da Kaspersky Lab hanno suggerito che il gruppo dietro l’operazione fosse Lazarus: un noto gruppo di hacker legato alla Corea del Nord. Tuttavia, a marzo, gli esperti di Kaspersky Lab hanno affermato che si trattava di un caso di false flag, ed era improbabile che Lazarus ne fosse l’artefice. Di recente i ricercatori hanno scoperto che l’operazione Olympic Destroyer è di nuovo attiva, utilizzando alcuni dei suoi strumenti originali di infiltrazione e ricognizione, concentrandosi però su obiettivi in Europa.

L’attore delle minacce sta diffondendo il suo malware attraverso documenti di spear-phishing che assomigliano molto ai documenti utilizzati nella preparazione delle operazioni delle Olimpiadi Invernali. Uno di questi “documenti esca” faceva riferimento alla “Spiez Convergence”, una conferenza sulle minacce biochimiche tenutasi in Svizzera e organizzata dallo Spiez Laboratory, un’organizzazione che ha svolto un ruolo chiave nell’inchiesta dedicata all’attacco di Salisbury. Un altro documento era destinato ad un ente dell’autorità di controllo sanitario e veterinario dell’Ucraina. Alcuni dei documenti di spear-phishing scoperti dai ricercatori contengono parole in russo e tedesco.

Tutti i payload finali estratti dai documenti dannosi sono stati progettati per fornire accesso generico ai computer compromessi. Per la seconda fase dell’attacco è stato utilizzato un framework open source e gratuito, noto come Powershell Empire.

Sembra che gli aggressori utilizzino webserver legittimi compromessi per ospitare e controllare il malware. Questi server utilizzano un noto sistema di gestione dei contenuti open source (CMS) chiamato Joomla. I ricercatori hanno scoperto che uno dei server che ospita il payload dannoso utilizzava una versione di Joomla (v1.7.3) rilasciata a novembre 2011, e questo suggerisce che una variante molto obsoleta del CMS avrebbe potuto essere utilizzata dagli hacker per attaccare i server.

In base alla telemetria di Kaspersky Lab e ai file caricati su servizi multi-scanner, sembra che gli interessi di questa campagna Olympic Destroyer siano rivolti verso Germania, Francia, Svizzera, Paesi Bassi, Ucraina e Russia.

“All’inizio di quest’anno, la comparsa di Olympic Destroyer e la rilevazione dei sofisticati tentativi di inganno hanno fatto cambiare idea riguardo al gioco di attribuzione, dimostrando quanto sia facile commettere un errore utilizzando solo i frammenti dell’immagine visibili ai ricercatori. L’analisi di queste minacce dovrebbe essere basata sulla cooperazione tra il settore privato e i governi e andare oltre i confini nazionali. Ci auguriamo che, condividendo le nostre scoperte pubblicamente, i tecnici di incident response e i ricercatori di sicurezza potranno essere in una posizione migliore per poter riconoscere e mitigare, in futuro, tale attacco” ha commentato Vitaly Kamluk, head of Apac research team di Kaspersky Lab.

Nell’attacco precedente, durante i Giochi Olimpici Invernali, l’inizio della fase di ricognizione è stata un paio di mesi prima dell’epidemia del worm di rete distruttivo automodificante. È possibile che Olympic Destroyer stia preparando un attacco simile con nuovi obiettivi: questo è il motivo per cui consigliamo agli enti di ricerca sulle minacce biologiche e chimiche di rimanere in allerta e avviare controlli aggiuntivi di sicurezza, laddove possibile.

I prodotti Kaspersky Lab rilevano e bloccano con successo il malware relativo all’Olympic Destroyer, per ulteriori informazioni sul ritorno di questa minaccia, tra cui gli Indicators of Compromise, è disponibile il blog su Securelist.

Contenuti correlati

• 
  Proofpoint: il ritorno del malware Qbot

  Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...
• 
  Falsi aggiornamenti del browser per distribuire malware

  Proofpoint  sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...
• 
  Proofpoint: nuova campagna di TA544

  I ricercatori di Proofpoint  segnalano una nuova campagna di TA544 rivolta agli utenti italiani, che distribuisce il malware Ursnif. Questo gruppo ha già distribuito il malware bancario in campagne ad alto volume per diversi anni. Proofpoint ha...
• 
  L’evoluzione del malware vista da Palo Alto Networks

  Unit 42, il threat intelligence team di Palo Alto Networks, ha pubblicato il secondo volume del suo Network Threat Trends Research Report in cui sono evidenziati i principali trend che impattano sulla cybersecurity: in primo piano l’uso...
• 
  ESET: analisi sulla diffusione della botnet Emotet

  ESET ha pubblicato un’analisi dei movimenti della botnet Emotet, una famiglia di malware attiva dal 2014, circoscritta nel 2021 grazie all’impegno e alla collaborazione internazionale di otto Paesi, ma tornata in auge. Emotet è gestita da un...
• 
  COSMICENERGY: un nuovo malware scoperto da Mandiant

  Mandiant ha identificato un nuovo malware specializzato per i sistemi OT, chiamato COSMICENERGY. In base alla ricerca effettuata sulla minaccia, Mandiant ritiene che questo malware sia stato progettato per causare interruzioni dell’energia elettrica, interagendo con le unità...
• 
  Le previsioni di Kaspersky Lab per la cybersecurity in ambito industriale

  Gli ultimi anni sono stati davvero intensi dal punto di vista degli incidenti di cybersecurity ai sistemi industriali, tra nuove vulnerabilità, nuovi vettori di minacce, infezioni accidentali dei sistemi e rilevamento di attacchi mirati. Lo scenario delle...
• 
  Kaspersky Lab: un terzo delle violazioni di dati aziendali causa il licenziamento dei dipendenti

  Una violazione di dati all’interno di un’azienda può rappresentare un danno in grado di andare al di là delle attività finanziarie, della reputazione e della privacy dei clienti. Una violazione può anche avere un forte impatto sulla...
• 
  Kaspersky Lab rinnova la sua soluzione Security for Mobile

  Per migliorare la gestione della cybersecurity su dispositivi di tipo mobile, Kaspersky Lab ha rinnovato Kaspersky Security for Mobile, la sua soluzione di Mobile Threat Defense che combina la protezione contro malware e la gestione della sicurezza...
• 
  Kaspersky Lab: consigli pratici contro le cyberminacce

  Secondo l’ultimo Report di Kaspersky Lab gli attacchi che sfruttano gli exploit per Microsoft Office sono quadruplicati nella prima parte del 2018. Gli attacchi basati su exploit sono considerati molto potenti, visto che non richiedono ulteriori interazioni con...