Sicurezza

Operation Sharpshooter, pioggia di malware contro i settori energia, difesa, nucleare e finanza

McAfee ha individuato una nuova campagna di attacchi informatici che prendono di mira società attive in settori strategici quali energia, difesa, nucleare e finanza. La ricerca, sviluppata da McAfee Advanced Threat Research insieme a McAfee Labs Malware Operations Group, mette in luce un’operazione di grandi proporzioni, che è stata ribattezzata Operation Sharpshooter.

Il nome indica solo la prima parte dell’azione, che consiste nell’infettare la memoria dei sistemi e rende possibile l’attivazione della fase due – chiamata Rising Sun – che rende l’attacco completo. L’analisi del codice di Rising Sun mostra parti del codice di Duuzer, un trojan scoperto nel 2015 e creato dal cosiddetto Lazarus Group. I tecnici di McAfee suggeriscono prudenza, e ricordano che potrebbe trattarsi di un falso indizio. I criminali hanno costruito false campagne di assunzione per raccogliere informazioni su persone specifiche all’interno delle aziende, per poi prenderli di mira con campagne mirate.

Il risultato? Tra ottobre e novembre 2018 Rising Sun è stato individuato in 87 aziende, la maggior parte degli Stati Uniti, ma con una presenza non irrilevante anche in Europa, Russia e altre aree del mondo. Il settore più colpito è quello delle telecomunicazioni, ma Rising Sun ha raggiunto anche società attive nel campo della Difesa, del nucleare e altri settori strategici.

La scoperta, secondo i tecnici di McAfee, è un altro esempio di attacchi mirati come azioni di intelligence. “Il malware agisce in diverse fasi. Il vettore iniziale è un documento che contiene una macro, il cui scopo è scaricare la fase successiva, che viene eseguita in memoria e raccoglie informazioni. I dati della vittima vengono spediti al server di controllo affinché gli autori  possano controllarli e determinare i passi successivi”. Il documento completo di McAfee offre altri dettagli per chi volesse approfondire.

Gli analisti rilevano inoltre come questo tipo di attacco non sia stato mai rilevato in precedenza. Si chiedono dunque se fosse solo un’operazione esplorativa, oppure il primo passo di un’azione più grande.

Mantenersi al sicuro è prima di tutto una questione di attenzione personale, ma è un buon software di sicurezza è di grande aiuto.