Ancora una campagna avanzata e persistente (APT) che compromette un determinato tipo di unità USB di sicurezza, utilizzato per fornire la crittografia per l’archiviazione sicura dei dati. E’ l’ultima scoperta degli specialisti di Kaspersky. Denominata “TetrisPhantom”, questa campagna di spionaggio ha come obiettivo gli enti governativi della regione Asia-Pacifica (APAC) e non ha alcuna somiglianza con altri attori noti. Questa e altre scoperte sono riportate nel nuovo report trimestrale di Kaspersky sulle minacce APT.
Il Global Research and Analysis team di Kaspersky ha scoperto, all’inizio 2023, una campagna di spionaggio di lunga durata gestita da altro attore finora sconosciuto. Gli aggressori hanno spiato e raccolto dati sensibili dagli enti governativi dell’APAC, sfruttando un particolare tipo di unità USB, protetto da crittografia hardware per garantire l’archiviazione e il trasferimento sicuro dei dati tra i sistemi informatici. Queste unità USB sicure sono utilizzate dalle organizzazioni governative di tutto il mondo, il che implica che molti enti potrebbero potenzialmente essere vittime di tecniche simili.
La campagna comprende diversi moduli malevoli, attraverso i quali l’attore può acquisire maggiore controllo sul dispositivo della vittima. Ciò gli permette di eseguire comandi, raccogliere file e informazioni dai dispositivi compromessi e trasferirli ad altri device utilizzando come supporto la stessa unità USB o altre. Inoltre, l’APT è in grado di eseguire altri file malevoli sui sistemi infetti.
Un attacco altamente mirato
I ricercatori di Kaspersky segnalano un numero limitato di vittime, evidenziando quindi la natura altamente mirata dell’attacco. “La nostra indagine rivela un elevato livello di sofisticazione, tra cui l’offuscamento del software basato sulla virtualizzazione, la comunicazione di basso livello con l’unità USB tramite comandi SCSI diretti e l’auto-replicazione attraverso USB sicure collegate. Queste attività sono state condotte da un attore altamente qualificato con un interesse per le attività di spionaggio all’interno di reti governative sensibili e protette”, ha dichiarato Noushin Shabab, Senior Security Researcher del Kaspersky’s Global Research and Analysis Team (GReAT).
I ricercatori di Kaspersky non hanno riscontrato alcuna somiglianza con altri attori di minacce esistenti, ma dal momento che la campagna è in ancora corso gli esperti continuano a seguirne i progressi e si aspettano di assistere ad attacchi ancor più sofisticati da parte loro in futuro.
Misure di sicurezza
Per evitare di essere vittime di un attacco APT mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky consigliano di implementare le seguenti misure di sicurezza:
- Aggiornare regolarmente il sistema operativo, le applicazioni, il software antivirus per risolvere eventuali vulnerabilità note.
- Prestare attenzione a email, messaggi o chiamate che richiedono informazioni sensibili. È importante verificare l’identità del mittente prima di fornire dati personali o cliccare su link sospetti.
- Consentire al team SOC l’accesso a tutte le più recenti informazioni sulle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso alla Threat Intelligence di Kaspersky, che fornisce dati e approfondimenti sui cyber attacchi, raccolti dal team Kaspersky in oltre 20 anni.
- Formare il proprio team di sicurezza informatica contro ATP per affrontare le più recenti minacce mirate grazie a Kaspersky online training, sviluppato dagli esperti del GreAT.
- Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello endpoint, l’analisi e la tempestiva risoluzione in caso di incidenti.
