In corso una campagna di cyber spionaggio e cyber warfare verso aziende che si occupano di Spazio, Difesa, TLC e dei satelliti. Gli hacker, chiamati Thrip, usano tecniche “living off the land”

E’ in corso una campagna di cyber spionaggio verso aziende che si occupano di Spazio, Difesa, TLC e dei satelliti. Lo hanno scoperto i ricercatori di sicurezza informatica di Symantec grazie al Targeted Attack Analytics (TAA). Il gruppo responsabile, Thrip, peraltro adotta tattiche di tipo “living off the land”. Cioè impiega strumenti di network administration e operating system features legittimi per compromettere le reti delle vittime. Questo per due motivi: nascondere le sue azioni agli occhi del bersaglio, il quale reputerà che i processi sono regolari. Far sì che anche se le cyber aggressioni siano scoperte, sarà più difficile isolarle e bloccarle.

Gli hacker malevoli sono interessati alle aziende e non ai loro clienti. In particolare al loro lato operativo. Si teme che possano tentare azioni di cyber warfare disruptive

Symantec, usando il TAA, ha scoperto che Thrip ha lanciato una serie di cyber attacchi contro un operatore dei satelliti. In particolare gli hacker malevoli erano molto interessati a conoscere il funzionamento operativo dell’azienda. Lo si è appreso a seguito del fatto che il gruppo ha  infettato computer specifici. Su questi guarda il software che monitora e controlla i satelliti. In questo caso, anche se non ci sono conferme ufficiali, la formazione potrebbe essere andata al di là delle azioni di cyber spionaggio. Lo scopo, secondo i ricercatori di sicurezza informatica,  poteva essere quello di compiere un sabotaggio. E quindi un’operazione di cyber warfare disruptive.

Chi sono le vittime di Thrip

Sempre nel settore Spazio, Thrip ha cercato di colpire un’impresa che si occupava di imaging e mapping geospaziale. Anche qui l’interesse degli hacker malevoli era per la sua parte operativa. In questo caso sono stati lanciati cyber attacchi contro le macchine che operavano il software MapXtreme Geographic Information System (GIS), usato per lo sviluppo di applicazioni geospaziali custom o per integrare i dati location-based in altre app. Colpiti pure i computer su cui girano i software Google Earth Server e Garmin. Infine, hanno subito attacchi dal gruppo 3 operatori delle TLC nel Sud Est Asiatico. Come nei precedenti casi erano loro il bersaglio e non i clienti, allo stesso modo di un contractor della Difesa.

Il post integrale sul blog di Symantec