Esperti identificano un'operazione di guerra informatica contro Israele e i palestinesi

Hacker attacca palestinesi ed israeliani

Non capita molto spesso di vedere accomunati come vittime di uno stesso attacco isrealiani e palestinesi, ma se quello che alcuni esperti di sicurezza informatica hanno detto è vero, questa volta alle spalle di una serie di atti di cyberspionaggio verso i due contendenti in uno dei conflitti più annosi della nostra epoca ci sarebbe un’unica matrice.

La prima traccia è stata ottenuta da un attacco al network della polizia israeliana, che è stata costretta a fermare le proprie operazioni informatiche per dare la caccia ad un trojan di tipo Xtreme RAT, infiltrato nei terminali grazie alle solite tecniche di ingegneria sociale.

Niente di particolarmente elaborato: un eseguibile malizioso accoppiato ad un semplice file word, studiato per sembrare proveniente dall’ufficio di Benny Gantz, capo della IDF. Xtreme RAT, identificato subito da Trend Micro, è un malware creato per rubare e ritrasmettere informazioni - cyberspionaggio, in poche parole.

La norvegese Norman ASA, basata ad Oslo, ha continuato la ricerca da questo punto. L’origine dell’attacco è tutt’ora sconosciuta ma l’inclusione di un certificato Microsoft auto-generato ha consentito di collegare il malware che ha bersagliato la polizia israeliana ad una serie di altri “bachi”. Il certificato, assolutamente finto e pertanto non riconosciuto da Windows nella maggior parte dei casi, è un tentativo di apparire legittimi - e l’autore non si è preoccupato di crearne più d’uno da quasi un anno a questa parte.

Il più vecchio dei malware dotati di questo certificato farlocco risale all’ottobre 2011, ed era allegato ad un bombardamento di spam, che contenevano false notizie in arabo riguardanti il popolo palestinese. Il network di controllo del malware era posizionato talvolta a Gaza, talvolta a Ramallah. A distanza di otto mesi il bersaglio è diventato l’altra fazione, gli israeliani, ed in quel momento i server dalla Palestina si sono spostati negli Stati Uniti.

Norman ASA ipotizza che si possa trattare di un gruppo di hacker indipendenti, intento a vendere informazioni al miglior offerente, anche se ammette che la metodologia (che non è poi tanto sottile) è praticamente identica a quella degli attacchi che tradizionalmente vengono considerati come provenienti dalla Repubblica Popolare Cinese.

Di sicuro in questo caso c’è una novità: è forse il primo caso nella storia in cui una cyberspia viene colta a spiare due contendenti nello stesso scenario di conflitto. Cina o non Cina, il modus operandi indica che si tratta di una fazione non coinvolta direttamente.

Via | Norman Blog

  • shares
  • +1
  • Mail