skip to Main Content

Dagli hacker di Platinum una nuova tecnica per rimanere nell’ombra

Dagli Hacker Di Platinum Una Nuova Tecnica Per Rimanere Nell’ombra

Platinum si connette alle vittime da remoto usando una porta seriale virtuale

Il gruppo hacker Platinum, che si occupa di cyber spionaggio, ha adottato una nuova tecnica per non essere rilevato. Ha cominciato ad usare nei suoi tool componenti della Active Management Technology (AMT) di Intel negli attacchi contro le organizzazioni nel Sud Est Asiatico. In particolare la funzione Serial-over-LAN (SOL). La tecnologia AMT permette agli utilizzatori di gestire un computer da remoto, indipendentemente dal suo stato e dalla presenza o meno di un sistema operativo. Inoltre, la funzione SOL lavora sia in ambito Windows e OS e fornisce una porta seriale virtuale. Questa può essere collegata a una console di gestione e comunicare con il software su una porta COM designata. Siccome la SOL lavora indipendentemente dal sistema operativo, le comunicazioni non sono monitorate dai firewall e dalle protezioni dei network. Di conseguenza, non vengono rilevate. A meno che non si usino prodotti specifici sulla SOL.

Chi sono gli hacker e per chi lavorano

Ad accorgersi di questa nuova TTP di Platinum è stata Microsoft, che ha scoperto il gruppo di hacker l’anno scorso. Gli specialisti di cyber spionaggio operano almeno dal 2009 e attaccano organizzazioni governative, agenzie d’intelligence, istituti collegati alla Difesa e internet provider (ISP) in Asia Sud Orientale e Meridionale. La formazione, operativa almeno dal 2009, è considerata una Advanced Persistent Threat (APT). Le informazioni e i dati rubati, però, non sono stati usati – almeno finora – per trarne profitti diretti. Sembra, invece, che operino attori a livello nazionale. Infatti, uno dei loro metodi d’attacco sono exploit “ZERO day” e malware custom per non essere rilevati. Ciò, insieme alla capacità di colpire più obiettivi in simultanea, conferma che hanno grandi risorse finanziarie e organizzazione. Tipici degli “hacker di stato”. Peraltro, agiscono durante la normale giornata lavorativa, per cercare di mascherare le loro attività con il normale traffico sul web.

Il rapporto di Microsoft su chi sono le cyber spie di Platinum (file PDF)

Back To Top