Torna APT28 (Fancy Bear) con un cyber attacco contro militari Usa e NATO

Iran Fancybear Apt28 Usa Fbi Ciscotalos Vpnfilter Malware Sicurezzainformatica Cyberwarfare Teheran Apt32 Vietnam Backdoor Malware Asia Spearphishing Socialengineering Cyberwar Cyberespionage Apt34 Cyber Cyberspionaggio Backdoor Powershell Google Usa NATO Fireeye Cybercrime Cyber Protezioneavanzata Advanced Persistent Threat APT FireEye Cybertech Cyber Apt33 Cyberwarfare Intelligence Killchain Maleware Apt28 Microsoft Usa Gates Redmond Asia OceanLotus Ransomworm.ransomware WannaCry Malware Tools Cybersecurity Hacker UK Parlamento Attacco Hacker APT28 Fancy Bear Pawn Storm STRONTIUM Russia NCSC CERT

Tornano a farsi vivi gli hacker APT28 (Fancy Bear). Obiettivo: alti funzionari Usa e NATO legati alla cyber

APT28 o Fancy Bear è tornato. Agli inizi di ottobre il gruppo hacker collegato alla Russia ha lanciato un’operazione per infettare i partecipanti alla conferenza Cyber Conflict (CyCon) negli Usa. Dai funzionari NATO a quelli dei paesi alleati. Lo ha scoperto Cisco Talos. Lo ha fatto trasformando in un’arma il documento Word “Conference_on_Cyber_Conflict.doc”. Al suo interno è stato inserito il malware Seduploader per prendere di mira i delegati. Si tratta ufficialmente di un file di 2 pagine, preso dal sito web della Conferenza e creato il 4 ottobre. I cyber attacchi sono cominciati poi tre giorni dopo contro personaggi di alto profilo, interessati all’iniziativa e in generale al panorama della sicurezza del cyberspazio. All’evento, che si terrà il 7 e 8 novembre, parteciperanno infatti molti big player del settore. Tra questi l’ex direttore della National Security Agency (NSA), Keith Alexander, e il capo del Cyber Command dell’esercito Usa, Paul Nakasone.

Come è avvenuto il cyber attacco

APT28 o Fancy Bear sono strettamente collegati sia ai cyber attacchi sia al malware usato. Gli hacker russi, infatti, hanno usato Seduploader anche in passato e regolarmente sfruttano grandi eventi come il CyCon per lanciare offensive informatiche o operazioni di cyber spionaggio. In questo caso non è stato impiegata una vulnerabilità o uno 0-day. Ma semplicemente un linguaggio di scrittura nascosto nel documento Word. Probabilmente, la formazione non ha usato exploit per evitare di “bruciarli”, in quanto subito dopo la loro comparsa le aziende e i CERT sviluppano patch per bloccarli, rendendoli inutilizzabili in futuro. Fortunatamente, comunque, l’aggressione informatica è stata rilevata in tempo e quindi sventata. In caso contrario le cyber spie avrebbero avuto accesso a tutte le informazioni contenute nei computer delle vittime.

I militari Usa confermano l’aggressione. Forse parte della cyber strategia contro i settori energia, aeronautica, servizi idrici e manifatture critiche

Anche i militari Usa hanno confermato che c’è stato un tentativo di hackeraggio legato alla CyCon, senza però fare il nome di APT28 o Fancy Bear. A proposito un portavoce militare ha dichiarato a The Daily Beast che le forze armate sono a conoscenza degli eventi e che hanno avviato un’indagine. Inoltre, hanno aggiunto che avrebbero reso noti ulteriori dettagli quando appropriato. L’azione potrebbe essere collegata all’allarme lanciato dal CERT-Usa sul fatto che è in atto una campagna di cyber attacchi contro entità governative e organizzazioni nei settori dell’energia (nucleare in primis), servizi idrici, aviazione e manifatture critiche. Non ci sono certezze a riguardo, ma sembra che ci siano collegamenti con la Russia.

L’analisi di Cisco Talos sul cyber attacco ai delegati della CyCon