Gli attacchi alla IEC sono cominciati ad aprile del 2016

Un gruppo di hacker ha preso di mira la Israel Electric Company (IEC) da quasi un anno. Per l’esattezza da aprile del 2016. Questi stanno diffondendo malware attraverso false pagine e profili Facebook, siti violati e altri strumenti. In particolare sono sotto attacco i domini, i file names, i Java package names e l’attività su Facebook. Lo riporta il blog dell’azienda di cyber security Clear Sky, che ha chiamato l’offensiva informatica “Operation Electric Powder“. La IEC è il più grande fornitore di energia elettrica nel paese ebraico. L’azienda costruisce e gestisce anche centrali, sottostazioni e network per la distribuzione. A oggi eroga circa il 75% di tutta la produzione di corrente in Israele.

L’analisi di Clear Sky sull’operazione “Electric Power”

Clear Sky ha rilevato che gli attacchi informatici degli hacker non sono sofisticati a livello operativo o tecnologico. Questi, infatti, non sono riusciti finora a bucare i sistemi della IEC o a rubare informazioni. Per condurre la loro campagna hanno usato il falso dominio (mimic) ynetnewes.com, che impersona il noto ynetnews.com: la versione inglese di ynet.co.il, uno dei media online più famosi in Israele. La pagina “fake” con ogni probabilità serve per diffondere malware. Inoltre, tra i vari profili Facebook falsi, è stato usato quello di tal Linda Santos (che a oggi non esiste più). Attraverso di esso sono stati postati commenti sul profilo ufficiale della Compagnia elettrica, con link alla pagina malevola.

Dall’inesistente Linda Santos su Facebook a Pokemon Go, passando per Android e media

Il falso profilo di “Linda Santos”, però, era diverso da molti altri usati tipicamente per tentativi di cyber-espionage o di infettare con malware. Questo, infatti, aveva molti amici, diversi dei quali appartenenti alla IEC. Di contro, però, seguiva solo 3 pagine ufficiali. Una di ubuntu e 2 in Israele: la Compagnia elettrica e il Jerusalem Post. Per lanciate i loro attacchi, gli hacker hanno anche tentato di sfruttare l’onda di popolarità del gioco Pokemon Go, creando una pagina fittizia scritta in inglese ed ebraico. I numerosi errori grammaticali commessi, però, indicano che questi non erano esperti nelle 2 lingue. Infine, hanno distribuito un’applicazione malevola su Android e diffuso malware attraverso siti istituzionali israeliani hackerati.

Mistero su chi siano gli hacker. Per McAfee potrebbe essere la Gaza Cybergang

Ma, mentre si conoscono bene le tecniche di attacco degli hacker, non è chiaro chi siano. Nessuno, infatti, finora ha rivendicato qualsiasi delle ripetute azioni contro la IEC. Per McAfee, che ha analizzato parte della campagna contro Israele, la fonte potrebbe essere la Gaza Cybergang (nota anche come Gaza Hacker Team o Molerats). A sostengo della tesi, però, non ci sono prove abbastanza concrete. Di conseguenza, l’origine rimane ignota. Ciò che appare probabile, comunque, è che almeno uno degli hacker si faccia chiamare Mohamad. Questo sarebbe lo sviluppatore del malware.

L’analisi completa di Clear Sky sugli attacchi hacker alla IEC di Israele