Weekly threats N.32

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• Ucraina: sventato attacco di Sandworm contro device militari
• MoustachedBouncer: condotte operazioni di spionaggio contro diplomatici stranieri in Bielorussia
• Corea del Nord: compromessa l’azienda russa NPO Mashinostroyeniya
• AQUATIC PANDA: forniti maggiori dettagli sull’APT cinese
• Bitter: distribuita ORPCBackdoor contro target di diversi Paesi
• Regno Unito: la Commissione Elettorale notifica un incidente informatico
• BfV: Charming Kitten prende di mira dissidenti iraniani in Germania

Anche questa settimana sono giunte nuove notizie dal fronte russo-ucraino. I servizi di sicurezza di Kiev hanno annunciato di aver impedito un attacco del russo Sandworm mirato al sistema di gestione delle operazioni militari ucraine. In particolare, il gruppo avrebbe cercato di compromettere dispositivi con sistema operativo Android che l’Esercito ucraino utilizza sul campo di battaglia per pianificare ed eseguire missioni di combattimento. Inoltre, il CERT-UA ha rilasciato un advisory riguardo la diffusione di e-mail di phishing con un allegato in formato .chm volte alla distribuzione del RAT Merlin, apparentemente mandate dallo stesso Computer Emergency Response Team utilizzando l’indirizzo di posta elettronica cert-ua@ukr[.]net. Nel frattempo, sul confine è stato identificato un APT precedentemente non documentato chiamato MoustachedBouncer, il quale risulta essere attivo almeno dal 2014 ed è esclusivamente specializzato in operazioni di spionaggio rivolte contro ambasciate straniere in Bielorussia. Si valuta con un livello di confidenza medio che l’APT sia allineato con gli interessi del Governo di Minsk.

D’altro canto, spostandoci sul versante pacifico, gli avversari nordcoreani ScarCruft e Lazarus Group hanno violato i sistemi dell’azienda russa produttrice di missili e veicoli spaziali militari NPO Mashinostroyeniya. La società, sottoposta a sanzioni, possiede proprietà intellettuali altamente riservate su tecnologie missilistiche sensibili attualmente in uso e in fase di sviluppo per l’Esercito russo. Oltre a ciò, ricercatori di sicurezza hanno fornito maggiori dettagli sul gruppo state-sponsored cinese AQUATIC PANDA, associato al Ministero della Sicurezza di Stato cinese (MSS), che dal 2021 ad oggi ha colpito realtà di svariati settori in almeno 17 Paesi in Asia, Europa e Nord America. Passando per l’Asia meridionale, un’operazione dell’indiano Bitter ha previsto la distribuzione di ORPCBackdoor prendendo di mira target di diversi Paesi, tra cui presumibilmente Pakistan e Cina.

Infine, tornando in Europa, la Commissione Elettorale del Regno Unito ha notificato sul proprio sito di essere caduta vittima di un attacco informatico. L’incidente è stato identificato nell’ottobre 2022 dopo che attività sospette sono state rilevate sui sistemi. Tuttavia, è emerso che l’attaccante ha avuto accesso alla rete per la prima volta nell’agosto 2021. Durante l’operazione, l’avversario è riuscito a infiltrarsi nei server della Commissione che custodivano la posta elettronica, i sistemi di controllo e le copie dei registri elettorali. Da parte sua, Il Bundesamt für Verfassungsschutz (BfV) tedesco ha rilasciato un advisory nel quale informa che l’APT di Teheran Charming Kitten sta prendendo di mira i dissidenti e gli esuli iraniani in Germania.