Ricercatori italiani della CSE Cybsec hanno scoperto sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi informatici. La porta è stata riconosciuta come una variante della nota backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor fa parte dell’arsenale di un gruppo paramilitare russo, noto con la sigla APT28. E’ una criticità che consente di prelevare enormi quantità di dati e informazioni dai computer compromessi per mandarli a un centro di comando e controllo situato in Asia. APT28 (acronimo che sta per Advanced Persistent Threath numero 28), prende il nome dalla tecnica utilizzata.
Si tratta di una ‘Minaccia persistente avanzata ed è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed prelevamento dei dati, con finalità di spionaggio. Il gruppo è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza.
APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa poi vinte da Donald Trump.
Il gruppo, ben organizzato e finanziato è conosciuto anche sotto altri nomi come Sofacy, Fancy Bear, Pawn Storm, Sednit. Gli esperti hanno individuato un altro malware che contatta un server di comando e controllo con il nome “marina-info.net“. Secondo i ricercatori i software malevoli farebbero parte di un attacco chirurgico ben coordinato e alimentato dall’APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane”. Entrambi i malware sono stati segnalati anche alle autorita’ in un rapporto accompagnato dalle cosiddette “regole Yara”, per facilitarne l’individuazione.