Cybersecurity, falla in reti italiane. Gruppo russo APT28 in azione

Ricercatori italiani della CSE Cybsec hanno scoperto  sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi informatici. La porta è stata riconosciuta  come una variante della nota backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor fa parte dell’arsenale di un gruppo paramilitare russo, noto con la sigla APT28. E’ una criticità che  consente di prelevare  enormi quantità di dati e informazioni  dai computer compromessi per mandarli a un centro di comando e controllo situato in Asia. APT28 (acronimo che sta per Advanced Persistent Threath numero 28), prende il nome dalla tecnica utilizzata.

Si tratta di  una ‘Minaccia persistente avanzata ed è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed prelevamento dei dati, con finalità di spionaggio. Il gruppo è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza.

APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa poi vinte da Donald Trump.

Il gruppo, ben organizzato e finanziato è conosciuto anche sotto altri nomi come Sofacy, Fancy Bear, Pawn Storm, Sednit. Gli esperti hanno individuato un altro malware che contatta un server di comando e controllo con il nome “marina-info.net“. Secondo i ricercatori i software malevoli farebbero parte di un attacco chirurgico ben coordinato e alimentato dall’APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane”. Entrambi i malware sono stati segnalati anche alle autorita’ in un rapporto accompagnato dalle cosiddette “regole Yara”, per facilitarne l’individuazione.

 

Cybersecurity, falla in reti italiane. Gruppo russo APT28 in azione

| INTELLIGENCE |