Home News Moonlight Maze è ancora temibile

Moonlight Maze è ancora temibile

-

Tempo di lettura: 3 minuti

I ricercatori di Kaspersky Lab e del Kings College London, durante un’indagine volta a trovare un legame tra un gruppo criminale moderno e gli attacchi di Moonlight Maze – che, alla fine degli anni ’90, hanno colpito il Pentagono, la NASA e altri obiettivi – hanno scoperto campioni, log e artefatti che appartengono all’antica APT. Le scoperte mostrano che una backdoor usata nel 1998 da Moonlight Maze per estrarre informazioni dalla rete colpita potrebbe essere collegata a una backdoor usata da Turla nel 2011 e, verosimilmente, persino nel 2017. Se questo legame venisse provato, Moonlight Maze raggiungerebbe in termini di longevità Equation Group, i cui server di comando e controllo, in alcuni casi, risalgono al 1996.

Il nuovo report su Moonlight Maze mostra come, a partire dal 1996, le reti militari e governative americane, oltre a università, istituti di ricerca e persino il Dipartimento dell’Energia, abbiano iniziato a scoprire vulnerabilità nei loro sistemi. Nel 1998 l’FBI e il Dipartimento della Difesa lanciarono un’imponente indagine e nel 1999 la storia diventò di pubblico dominio, sebbene la maggior parte delle prove rimase segretata, lasciando i dettagli di Moonlight Maze avvolti dalla segretezza e dal mito.

Negli anni, gli investigatori di tre diversi Paesi hanno dichiarato che Moonlight Maze si è evoluto in Turla, un gruppo criminale di lingua russa conosciuto anche come Snake, Uroburos, Venomous Bear e Krypton, convenzionalmente considerato attivo dal 2007.

I “sample nell’armadio”

Nel 2016, mentre realizzava il suo libro, Rise of the Machines, Thomas Rid del Kings College London è risalito a un ex amministratore di sistema il cui server aziendale era stato sfruttato come proxy dai criminali di Moonlight Maze. Questo server, “HRTest”, era stato utilizzato per lanciare attacchi negli Stati Uniti. Il professionista IT, ormai in pensione, aveva conservato il server originale e le copie di tutto ciò che era legato agli attacchi e ha scelto di consegnarli al Kings College e a Kaspersky Lab per ulteriori analisi.

I ricercatori di Kaspersky Lab, Juan Andres Guerrero-Saade e Costin Raiu, insieme a Thomas Rid e Danny Moore del Kings College, hanno trascorso nove mesi analizzando in modo dettagliato questi sample, riuscendo a ricostruire le attività, i tool e le tecniche dei cyber criminali. Hanno inoltre condotto un’indagine parallela nel tentativo di provare il legame di questo gruppo con Turla.

Gli attacchi open-source basati su Unix di Moonlight Maze prendevano di mira i sistemi Solaris e, secondo i risultati dell’indagine, usavano una backdoor basata su LOKI2 (un programma rilasciato nel 1996 che permette agli utenti di estrarre dati attraverso canali segreti). Questo ha portato i ricercatori a riesaminare alcuni rari sample Linux usati da Turla che Kaspersky Lab aveva scoperto nel 2014. Chiamati Penquin Turla, anche questi campioni sono basati su LOKI2. Inoltre, la nuova analisi ha mostrato che tutti usano un codice creato tra il 1999 e il 2004.

Sorprendentemente, questo codice viene ancora utilizzato negli attacchi. È stato trovato in the wild nel 2011, quando è stato scoperto in un attacco all’azienda tecnologica RUAG, in Svizzera, attribuito a Turla. A marzo 2017, i ricercatori di Kaspersky Lab hanno scoperto un nuovo sample della backdoor Penquin Turla diffusa da un sistema situato in Germania. È possibile che Turla utilizzi il vecchio codice per attacchi a entità estremamente sicure che potrebbero essere più difficili da violare usando i più tradizionali tool Windows.

“Alla fine degli anni ’90, nessuno poteva prevedere la diffusione e persistenza di una campagna coordinata di cyber spionaggio. Ci dobbiamo chiedere come mai i criminali siano ancora in grado di sfruttare con successo vecchi codici negli attacchi di oggi. L’analisi dei sample di Moonlight Maze non è solo un affascinante studio archeologico; è anche un promemoria che ci ricorda che gli avversari dotati di risorse adeguate non scompariranno, tocca a noi difendere i sistemi con le giuste competenze”, ha commentato Juan Andres Guerrero-Saade, Senior Security Researcher del Global Research and Analysis Team di Kaspersky Lab.

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Codici QR sempre più popolari: imprese e utenti finali a rischio

    Codici QR sempre più popolari: imprese e utenti finali a rischio

    La maggioranza degli intervistati non possiede device protetti dalle minacce e non possiede un software di sicurezza
    Work 2035: Il lavoro di domani? Più intelligente

    Work 2035: Il lavoro di domani? Più intelligente

    L'introduzione dell'AI porterà nuove figure professionali, dipendenti più motivati e produttivi, innovazione e crescita
    GPAI, il Partenariato Globale sull'Intelligenza artificiale

    Webinar: Intelligenza artificiale e responsabilità dell’ingengere

    L’Ordine degli Ingegneri della Provincia di Milano e UNI Ente Italiano di Normazione ti invitano martedì 29 settembre 2020 dalle ore 16.00 alle ore 19.00 al webinar
    C-level, in Italia le retribuzioni più basse dopo la Cina

    C-level, in Italia le retribuzioni più basse

    Meno pagati solo i cinesi. I paesi europei che retribuiscono meglio Ceo e C-Level sono Germania e Svizzera

    Cyber Threat Intelligence: decisioni proattive grazie alla data analytics

    Analisti esperti in intelligence devono prendere decisioni sulla base di dati in real time, selezionati e processati