Campagne di Cyber Spionaggio, è rivolta in Israele e Palestina
Nel corso dell’ultimo anno è stato possibile osservare degli attacchi malware contro i sistemi israeliani e palestinesi, questi attacchi non solo sono stati multipli ma si ritiene che possano provenire dalla stessa fonte. In Norvegia alcuni ricercatori hanno rilevato le prove dell’esistenza di una vasta rete di spionaggio mediorientale, una rete che si è vista protagonista della distribuzione, nell’anno passato, di un software dannoso e con il compito di spiare obiettivi israeliani e palestinesi.
La scorsa settimana è avvenuta la corsa ai ripari dello stato israeliano, infatti le contromisure adottate sono state non solo il divieto per le forze di polizia di connettersi ad internet ma anche di utilizzare schede di memoria o dischi per cercare di neutralizzare l’attacco cybernetico. Contromisure necessarie per evitare che un malware chiamato Benny Gantz-55 ( che prende il nome Benny Gantz, capo di stato maggiore israeliano) infetti la rete informatica della polizia
I campioni del malware analizzati da Trend Micro, ottenuti da un recente attacco, mostrano che questi è iniziato con un messaggio di spam, messaggio che porta come mittente il capo delle Forza di Difesa israeliane, Benny Gatz ed utilizzando come indirizzo e-mail bennygantz5(*)gm***.c*m.
Il malware utilizzato dagli aggressori era un trojan XtremeRat, che già era stato utilizzato nelle campagne di sorveglianza contro gli attivisti siriani. XtremeRat trojan rientra nella famiglia trojan e utilizza un accesso remoto per rubare informazioni e ricevere comandi da un utente remoto. Sempre secondo TrendMicro, che si è occupata dell’analisi del malware, le ultime versioni del Rat Extreme risultano compatibili con windows 8, e riesce addirittura ad apportare miglioramenti alle funzionni password leaked di Chrome e Firefox, audio migliorato e funzionalità di cattura del desktop.
Uno dei componenti del team di TrendMicro, Norman, nell’analizzare la fonte degli attacchi, ha dichiarato: “Che cosa c’è dietro questi indirizzi IP è difficile da stabilire. E ‘possibile che si trattino Computer Zombie e in quanto tali non danno molte informazioni valide. Se così fosse, ci sarebbe d’aspettarsi una gamma di IP più grande e un distribuzione geografica molto vasta, ma nulla è certo “. Nella sua analisi del fenomeno aggiunge: “Nell’inchiesta seguente abbiamo trovato altri diversi trojan firmati analogamente, e molti altri trojan che si connettono al medesimo comando con controllo di struttura simile al primo lotto. La struttura di comando e controllo è incentrata su un paio di DNS dinamici (DynDNS), domini che al momento della stesura permettono di scegliere servizi di hosting negli Stati Uniti.”
Adesso spetta ai funzionari analizzare il virus e determinare se si tratti di uno scherzo o se invece questi sia stato generato dal programma cyberwarfare dell’Iran, derivante da una miglioria apportata al virus Stuxnet che era stato utilizzato nel 2010 dal programma nucleare di Teheran.