image/svg+xml
Logo Tom's Hardware
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Tom's Hardware Logo
  • Hardware
  • Videogiochi
  • Mobile
  • Elettronica
  • EV
  • Scienze
  • B2B
  • Quiz
  • Forum
  • Sconti & Coupon
Sconti & Coupon
Accedi a Xenforo
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale) TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è...
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci Non solo polvere: questo aspirapolvere rimuove anche i liqui...

Symantec, 11 provider sauditi sotto attacco. L'obiettivo erano le forniture di petrolio?

Symantec ha rilasciato un report secondo il quale un gruppo hacker prima sconosciuto, Tortoiseshell, avrebbe attaccato ben 11 provider, quasi tutti sauditi. Si suppone che l'interesse fosse rivolto alle risorse petrolifere e alla catena dei rifornimenti.

Advertisement

Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Scopri di più
Avatar di Alessandro Crea

a cura di Alessandro Crea

Pubblicato il 19/09/2019 alle 16:35

Un gruppo hacker mai documentato in precedenza, chiamato Tortoiseshell e di provenienza al momento ignota, avrebbe colpito ben 11 provider, per la maggior parte locati in Arabia Saudita, con l'intento di accedere a determinati computer attraverso le loro reti. Con molta probabilità l'interesse era focalizzato su aziende petrolifere e sulla catena dei rifornimenti. È quanto emerge da un report di Symantec, che ha anche analizzato le tecniche di attacco utilizzate.

Il gruppo, che sarebbe attivo almeno dal luglio dello scorso anno, avrebbe dimostrato di possedere conoscenze tecniche elevate, utilizzando un mix di strumenti già preesistenti e altri completamente personalizzati. Almeno in due delle undici azioni intraprese inoltre, gli hacker avrebbero ottenuto con successo l'accesso a livello di amministratore di dominio alle reti, assicurandosi così il controllo di tutti i computer connessi.

petrolio-2-52272.jpg

Nonostante questo però, da un punto di vista tecnico, gli attacchi hanno destato anche qualche perplessità, come se a queste elevate capacità tecniche si accompagnasse una scarsa chiarezza di intenti. ‎‎"La parte più avanzata di questa campagna è la pianificazione e l'implementazione degli attacchi stessi", ha scritto in una e-mail un membro del team di ricerca di Symantec. "L'attaccante doveva avere più obiettivi, raggiunti in modo operativo al fine di compromettere i veri obiettivi che avrebbero avuto relazioni con il provider IT. L'uso di malware unico, sviluppato appositamente per una campagna avanzata come questa dimostra che l'attaccante ha risorse e capacità che la maggior parte degli avversari di livello basso a medio semplicemente non hanno".

Sviluppato ‎in Delphi e .NET, il componente unico utilizzato da Tortoiseshell è un malware chiamato ‎‎Backdoor.Syskit, una backdoor di base, in grado di scaricare ed eseguire strumenti e comandi aggiuntivi, al fine di ‎ raccogliere e inviare a un server l'indirizzo IP e quello MAC della macchina, il nome del sistema operativo e la versione, utilizzando l'URL nella chiave del Registro di sistema Sendvmd, dopo aver codificato il tutto in Base64.

La backdoor aveva tra gli altri anche un comando "kill me" per disinstallarla e rimuovere tutte le tracce di infezione, suggerendo così che la segretezza fosse una priorità dell'attacco. Tuttavia in due delle reti compromesse sono stati individuati centinaia di computer connessi infettati dal malware, un numero insolitamente elevato, che sembra suggerire la necessità, da parte degli hacker, di infettare molte macchine prima di riuscire a identificare quelle di interesse, rendendo tra l'altro più facile accorgersi dell'attacco in corso.

‎Un pezzo inspiegabile del puzzle è rappresentato dall'installazione di uno strumento dannoso, soprannominato PoisonFrog, circa un mese prima che gli strumenti di Tortoiseshell entrassero in azione, uno strumento solitamente ricondotto nel recente passato a APT34, un gruppo d'attacco sponsorizzato dal governo iraniano, o alternativamente OilRig, i cui server sono stati a loro volta attaccati recentemente da Turla, un gruppo hacker che sembra essere legato al governo russo.

Il report di Symantec ‎contiene gli indirizzi IP dei server di controllo Tortoiseshell e gli hash crittografici del software utilizzato dal gruppo. Questo consentirà quindi agli addetti alal cybersicurezza di utilizzare questi indicatori per verificare se le proprie reti abbiano subito lo stesso tipo di attacco.

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite . Vuoi accedere?


Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.

Segui questa discussione
Advertisement

Non perdere gli ultimi aggiornamenti

Newsletter Telegram

I più letti di oggi


  • #1
    Questo nuovo materiale "vive" e ricostruisce gli edifici
  • #2
    Uso della VRAM ridotto all'osso con la nuova versione del DLSS
  • #3
    Anche Amazon nella rete del “NO IVA”: ecco gli affari nascosti
  • #4
    Uno YouTuber ha acquistato uno dei marchi più famosi del retrogaming
  • #5
    Milioni di stampanti in tutto il mondo a rischio sicurezza
  • #6
    Questa è la tech che salverà le schede video da 8GB
Articolo 1 di 5
Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Proscenic F20A è un aspirapolvere senza fili 3 in 1 con coupon da 50€ di sconto da selezionare su Amazon, che lo porta a soli 219€.
Immagine di Non solo polvere: questo aspirapolvere rimuove anche i liquidi mentre pulisci
Leggi questo articolo
Articolo 2 di 5
TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Offerta imperdibile per la smart TV Hisense 55A8DN OLED 4K 55 pollici con tecnologia Dolby Vision IQ e 120Hz. Su Amazon sotto gli 800€!
Immagine di TV OLED a prezzo giusto? Hisense dice la sua (e lo sconto è reale)
Leggi questo articolo
Articolo 3 di 5
Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
A volte il colore fa la differenza: questo smart speaker Sonos bianco è scontato di oltre 40€ al momento del pagamento, permettendovi di prenderlo a 187€.
Immagine di Il colore conta: lo smart speaker Sonos bianco ha oltre 40€ di sconto
Leggi questo articolo
Articolo 4 di 5
Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Buona offerta da Amazon sulle HyperX Cloud III Wireless, in sconto da 179,99€ a 119,99€, cuffie gaming con 120 ore di autonomia e audio DTS Spatial.
Immagine di Passerai l’estate a giocare? Fallo con le cuffie HyperX, oggi in offerta
Leggi questo articolo
Articolo 5 di 5
Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Sono arrivati i nuovi Shelly Gen4: soluzioni smart con controllo dei consumi per una casa intelligente come mai prima d’ora.
Immagine di Shelly Gen4 e Plus: piccoli dispositivi ma grandi alleati per una casa smart
Leggi questo articolo
Advertisement
Advertisement

Advertisement

Footer
Tom's Hardware Logo

 
Contatti
  • Contattaci
  • Feed RSS
Legale
  • Chi siamo
  • Privacy
  • Cookie
  • Affiliazione Commerciale
Altri link
  • Forum
Il Network 3Labs Network Logo
  • Tom's Hardware
  • SpazioGames
  • CulturaPop
  • Data4Biz
  • TechRadar
  • SosHomeGarden
  • Aibay

Tom's Hardware - Testata giornalistica associata all'USPI Unione Stampa Periodica Italiana, registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013 - Direttore: Andrea Ferrario

3LABS S.R.L. • Via Pietro Paleocapa 1 - Milano (MI) 20121
CF/P.IVA: 04146420965 - REA: MI - 1729249 - Capitale Sociale: 10.000 euro

© 2025 3Labs Srl. Tutti i diritti riservati.