Sventata azione di spionaggio contro il governo della Malesia

Alla AVAR International Conference due ricercatori di ESET, Tomáš Gardoň e Filip Kafka, hanno presentato una ricerca relativa a un tentativo di cyber-spionaggio contro reti governative in Malesia.

La particolarità di questo attacco è che sembra sia stato portato avanti mischiando e adattando codice malware già di pubblico dominio. In una intervista a Welivesecurity i due ricercatori affermano di aver trovato nell’attacco codice di Gh0st RATNetBot Attacker, due backdoor sviluppate dieci anni fa. Oltre a questo è stato trovato codice di Hacking Team relativo al tool di monitoraggio Remote Control System (RCS) che era stato pubblicato in rete nel 2015.

Il risultato è uno strumento-frankenstein usato per esfiltrare e inserire file dalle macchine infette, oltre che monitorare le attività di mouse e tastiera, raccogliere informazione di sistema, eseguire o chiudere processi e far ripartire o spegnere il computer. Per tutta la durata dell’attacco i cyber-criminali erano intenti a modificare il codice del toolkit per cercare di evadere le misure contenitive dell’azienda di sicurezza, non riuscendo tuttavia ad andare oltre.

Stupisce leggermente questo riutilizzo di risorse, visto che in attacchi mirati contro obiettivi di alto profilo (come ad esempio un governo) i criminali generalmente realizzano codice ad hoc.

Non è chiara al momento la provenienza del tentativo di spionaggio.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.