Red October, la rete di cyber-spionaggio mercenaria scoperta da Kaspersky

Kaspersky Labs ha deciso di battezzare Red October la rete di spionaggio e cybercrime che ha svelato alla stampa dopo mesi di duro lavoro. Il nome, decisamente poco originale, è tutto sommato appropriato, dato che secondo l’agenzia di sicurezza informatica si tratta di un network mercenario operato principalmente da nativi russi.

Red October è il frutto di un lavorio criminoso di 5 anni, ed è diffuso a macchia d’olio nei paesi petroliferi ed ell'Europa dell'Est (ma anche in Nord America), essendosi infiltrato nei sistemi di ricerca ed archiviazione diplomatici, governativi e scientifici di stampo principalmente governativo. Questi sono i veri hacker, insomma, non un manipolo di cyber-attivisti ventenni o qualche capro espiatorio destinato ad essere bruciato sul rogo di un pubblico ministero arrivista.

Che i cybercriminali fossero attivi in Russia lo sapevamo, ma questo va decisamente al di là di semplice crimine: gli autori del network sono dei professionisti dello spionaggio che impiegano coder validi, combinando la raccolta di informazioni sui bersagli ai malware per il massimo dell’efficacia.

Un semplice attacco di phishing sarebbe un attacco casuale che usa un’esca universale nel tentativo di cogliere un soggetto con la guardia abbassata. In questo caso però ci troviamo di fronte a gente che sa cosa cerca, anche se i malware sono relativamente convenzionali (file che devono essere aperti per infettare un PC), alle spalle di essi c’è un lavoro di intelligence.

Questo tipo di procedura si chiama spear phishing, e sfrutta le informazioni personali del bersaglio per un colpo mirato: non una mail che promuove metodi per migliorare le prestazioni amorose a 15 dollari, ma documenti ed articoli rilevanti al lavoro o alla vita personale, che sembrano provenire da fonti affidabili.

Kaspersky parla di circa 300 PC infetti posizionati in network molto ricchi di informazioni riservate. Queste macchine contaminate sono capaci di afferrare i file su server FTP, dati di login, dati POP3, IMAP ed Outlook, di "piantare" keylogger e persino di catturare quello che viene inserito sulle porte USB o da un iPhone o telefono Nokia. I server dell’operazione sono distribuiti tra Russia e Germania.

Secondo Kaspersky si tratta di criminali russi a causa della presenza di parole in slang non utilizzate da un non-nativo, e l’operazione non è sotto l’egida di alcuno stato-nazione - vendono i terabyte di dati sottratti al miglior offerente. Ci sono delle somiglianze con Flame e Stuxnet, oppure con alcune strategie cinesi, ma nessun legame è evidente.

Via | Wired

  • shares
  • Mail
1 commenti Aggiorna
Ordina: