Dopo la scoperta di MartyMcfly, nasce la cyberforce tra Yoroi e il SOC di Fincantieri per analizzare le cyber minacce all’industria navale in Italia

Qualcuno sta conducendo una campagna di cyber attacchi mirati contro l’industria navale in Italia. Lo hanno scoperto gli esperti di sicurezza informatica di Yoroi e quelli del Security Operation Center (SOC) di Fincantieri, che recentemente hanno creato una cyberforce congiunta. La partnership è nata dopo che l’azienda ICT ha scoperto “MartyMcFly”, un malware usato in un attacco temporizzato, pianificato nel 2010 ed eseguito nel 2018, contro una società operante nel settore delle forniture navali. Pochi giorni dopo, un’integrazione da parte di Kaspersky ha suggerito che la minaccia potrebbe essere di caratura ben più ampia. Addirittura correlata a un insieme di attacchi cibernetici, avvenuti in altre parti del mondo: dalla Germania alla Spagna, passando per India e alcune zone del nord Africa. Conferma anche dal trend crescente di cyber aggressioni al settore globale. Questo nuovo perimetro ha incuriosito gli analisti di Yoroi che hanno realizzato la cyberforce con il SOC di Fincantieri, una delle principali organizzazioni europee operante del settore.

Ecco perché l’industria navale italiana sta subendo cyber attacchi mirati. I vettori sono gli stessi: mail e siti web con fornitori come esche

La cyberforce di Yoroi e Fincantieri ha avviato una nuova analisi sull’attacco informatico con MartyMcFly, basata su ulteriori evidenze in possesso di del colosso navale italiano. L’azienda non è stata attaccata dal malware, ma ultimamente il suo SOC ha osservato ulteriori minacce, che apparentemente hanno il suo stesso modus operandi. Gli esperti di cyber security hanno evidenziato alcuni elementi che non lasciano dubbi. Entrambe le campagne malevole usano le email, impersonificando service provider o piccoli fornitori nell’industria navale. Ciò sancisce che si tratta di azioni mirate contro il settore. L’aggressore, infatti, impiega una serie di esche che hanno un valore solo se utilizzate per colpire target in questo ambito. A ulteriore conferma, vengono adottati domini simili a quelli realmente esistenti nell’ecosistema dei fornitori dell’industria Navale. Infine, nel corpo dei messaggi ci sono un linguaggio specifico e riferimenti a “parti di ricambio” per imbarcazioni (usate anche nell’ambito della difesa marittima).

Cambiano i malware (Payload) e i “Drop”: dalla vulnerabilità Microsoft Equation Editor alle pagine web di phishing

C’è, invece, un elemento che cambia all’interno delle campagne di cyber attacchi contro l’’industria navale italiana: il malware impiegato. La cyberforce Yoroi-Fincantieri ha scoperto che nel caso di “MartyMcFly” il payload era un noto RAT (Remote Access Trojan), il quale veniva utilizzato per mantenere il controllo delle macchine prese di mira. Ciò al fine di rubare silenziosamente informazioni ed eventualmente manomettere documenti (cyber spionaggio- cyber warfare). Nel nuovo caso, invece, il payload era una pagina web il cui obiettivo era frodare credenziali. Inoltre, variano i percorsi di “Drop”. Nel primo caso è stato impiegato un sistema a multi-stage basato su “Microsoft Office Default Encryption OLE OBJ”, il quale sfruttava una vulnerabilità nota come CVE-2017-11882 (Microsoft Equation Editor vulnerability). Nel secondo, la classica pagina web di phishing, mascherata come quella di una nota azienda di spedizioni marittime.

Non c’è dubbio che qualcuno abbia preso di mira l’industria navale in Italia, forse in scia di quanto sta avvenendo in tutto il mondo. Di certo c’è che i cyber criminali sono esseri umani: professionisti esperti e motivati

Di conseguenza, come dimostrano gli elementi scoperti dalla cyberforce Yoroi-Fincantieri, non c’è dubbio che qualcuno stia prendendo di mira l’industria navale italiana. Probabilmente sulla scia di quanto sta avvenendo a livello globale. Il settore, infatti, è sempre più colpito da attacchi informatici. In particolare nell’ambito dello shipping e delle infrastrutture. Peraltro, non si tratta di aggressioni cibernetiche spot o generate da software. Ma di campagne ad hoc, studiate e lanciate da esseri umani. Lo confermano lo studio sulle esche, i domini contraffatti e la costruzione dei siti web falsi. Senza contare il linguaggio tecnico nelle email, che nessun software è in grado di replicare. Inoltre, la sua correttezza sintattica e grammaticale, unita alla strategia fluida adottata, lasciano pensare che gli attaccanti siano dei professionisti esperti e motivati. Perciò, la minaccia oltre a essere concreta è anche molto pericolosa.