L’ultima minaccia rilevata dagli esperti del vendor si chiama “Blue Termite”: un gruppo di cybercriminali sta tempestando da due anni i sistemi di diverse organizzazioni nipponiche utilizzando tecniche di spear-phishing in continua evoluzione. I pirati informatici stanno sfruttando anche gli exploit zero-day in Flash già impiegati dall’azienda italiana Hacking Team.

La minaccia è al momento confinata al solo territorio giapponese, ma non è detto che nelle prossime settimane si estenda anche al resto del mondo. I ricercatori di Kaspersky Lab hanno scoperto e comunicato alle autorità nipponiche una massiccia campagna di spionaggio informatico, ribattezzata Blue Termite, che da due anni sta prendendo di mira centinaia di organizzazioni del Sol Levante. Tutto è partito dall’analisi di un malware decisamente diverso e più complesso del solito, che ha permesso agli esperti di sicurezza di ricostruire una campagna aggressiva, ancora in corso e dalla paternità tuttora ignota, che in ventiquattro mesi è riuscita a causare danni a enti governativi, aziende chimiche, istituzioni finanziarie, media e così via. Le tecniche utilizzate dal gruppo di hacker, forse cinese, erano varie. Ad esempio, fino a luglio 2015 sono state impiegate email di spear-phishing, per inviare software infetto in allegato alle vittime.
Dopo l’intrusione di altri pirati informatici nei sistemi dell’azienda italiana Hacking Team, con la conseguente pubblicazione online di materiale sensibile, le modalità operative dei cybercriminali “filo giapponesi” sono cambiate: il gruppo ha iniziato a diffondere malware attraverso exploit zero-day Flash. Gli aggressori hanno compromesso diversi siti giapponesi utilizzando quella che viene definita la tecnica drive-by-download, che fa sì che i visitatori vengano infettati scaricando automaticamente file dannosi una volta giunti sul sito Web.

Una volta che l’infezione ha successo, viene implementata una complessa backdoor su una specifica macchina. La backdoor è in grado di rubare password, scaricare ed eseguire ulteriori payload, recuperare altri file e così via. La cosa più interessante della campagna Blue Termite, secondo Kaspersky, è che ogni vittima viene colpita da campione unico di malware, sviluppato in modo da poter essere lanciato soltanto su un determinato computer. Un meccanismo progettato proprio per rendere difficile l’analisi della minaccia e la sua scoperta.


ictbusiness