Lo studio è stato realizzato da Ryan Sherstobitoff e Itai Liba, McAfee Labs e James Walter, membro dell’ufficio del CTO di McAfee. Dai risultati, evidenzia la società, emerge come a seguito dell'attacco DarkSeoul del 20 marzo 2013 contro i servizi finanziari e i media, la maggior parte dell'attenzione fosse concentrata sulla funzionalità di cancellazione del record di avvio principale (Master Boot Record o MBR) che aveva cancellato i dati presenti sugli hard disk dei Pc infettati, mentre l'attacco DarkSeoul aveva utilizzato un'ampia gamma di tecnologie e tattiche, oltre alla funzionalità MBR.
L'indagine sugli attacchi informatici ha rivelato operazioni di raccolta clandestina continuativa di informazioni. Secondo McAfee Labs questi attacchi non sono stati però un evento isolato strettamente legato alla distruzione dei sistemi, ma solo l'ultimo di una serie di attacchi risalenti come anno di origine al 2010. La cosa più preoccupante è che le operazioni sono rimaste quindi nascoste per anni e hanno eluso le tecniche di difesa che le organizzazioni prese di mira avevano posto in essere.
I risultati dell’indagine infatti indicano che DarkSeoul è stato solo l'attacco più recente all’interno di un progetto di sviluppo malware che è stato denominato Operazione Troy, dalle ripetute citazioni dell'antica città individuate nelle stringhe di compilazione del malware. Il principale gruppo sospettato in questi attacchi è il New Romanic Cyber Army Team che fa un utilizzo significativo di termini Romani nel proprio codice.
Una serie di attacchi progressivi
Una storia ricca di varianti
La storia di Operazione Troy è iniziata nel 2010, con la comparsa del Trojan NSTAR. Sin dalla comparsa di NSTAR ne sono state identificate sette varianti note. Nonostante il rapido ciclo di rilascio, la funzionalità fondamentale di Operazione Troy non si è evoluta molto.
Le principali differenze tra NSTAR, Chang/Eagle e HTTP Troy, ha speigato McAfee, avevano più a che fare con la tecnica di programmazione che con la funzionalità. I primi miglioramenti funzionali reali hanno fatto la loro comparsa nella release Concealment Troy, all'inizio del 2013. Concealment Troy aveva cambiato l'architettura di controllo e riusciva a nascondere meglio la sua presenza alle tecniche di sicurezza standard.
Per chi volesse approfondire l'argomento una copia del report completo è disponibile all'indirizzo:
http://www.mcafee.com/it/resources/literature/white-papers/wpdissecting-operation-troy.pdf