L’esca usata dagli hacker: una mail con falsa proposta d’affari, compressa in file RAR

C’è un legame tra il trojan usato dal gruppo di cyber-espionage Greenbug e coloro che usano il malware Shamoon. Ne sono convinti i ricercatori di Symantec secondo Opaq Networks. La formazione di spionaggio informatico ha colpito diverse organizzazioni in Medio Oriente e usa un trojan di accesso remoto che ruba le credenziali delle vittime. Questo malware, chiamato “Ismdoor”, è stato utilizzato per sottrarre almeno un account admin da un computer di un’agenzia saudita, in occasione dell’offensiva informatica contro Riad del 17 novembre del 2016.  Gli hacker hanno usato phishing email per agganciare il loro bersaglio. L’esca era un invito ad aprire una falsa proposta d’affari, compressa in un file RAR. Secondo i rapporti degli analisti, all’interno del file c’era, invece, il trojan.

Come è avvenuto l’attacco alle infrastrutture di Riad del 16 novembre

Una volta attivato, il trojan ha creato una backdoor sul dispositivo bersaglio e ha avviato Windows PowerShell per connettersi con il server di comando e controllo. Da quel momento gli hacker hanno potuto scaricare pacchetti di spyware per rubare le credenziali e attivare altre funzionalità. Lo stesso pc infetto in Arabia Saudita, inoltre, è stato colpito anche dal malware Shamoon che cancella completamente i dischi rigidi. A partire dall’azione offensiva, le istituzioni di Riad hanno registrato un incremento di attacchi informatici alle loro infrastrutture di questo tipo. Per lanciarli, però, è necessario che l’aggressore ottenga le credenziali degli amministratori del sistema e inserisca al suo interno il malware Disttrack malware. Da qui il collegamento. Il troyan Ismdoor, peraltro, è usato esclusivamente da Greenbug.

Chi è il gruppo Greenbug, come opera e quali bersagli sceglie

Il gruppo di cyber spionaggio Greenbug opera prevalentemente in Medio Oriente. Nel tempo ha lanciato attacchi contro bersagli in Arabia Saudita, Qatar, Kuwait, Turchia, Iraq, Bahrain e Iran. Si tratta di un collettivo hacker che colpisce non solo i governi.  Ma anche le aziende di diversi settori. Dagli investimenti all’aeronautica, passando per l’istruzione e l’energia. La caratteristica del gruppo è usare gli alternate data streams (ADS) per evitare di essere rilevati dalle contromisure di sicurezza. Symantec ha scoperto l’esistenza del collettivo durante le indagini relative a un attacco contro compagnie energetiche saudite, avvenuto nel 2012.