Tracciata una nuova infrastruttura di Predator; ALPHV Team simula il sequestro; danneggiati 4 cavi sottomarini nel Mar Rosso

Predator: ricostruita infrastruttura a più livelli per colpire dispositivi mobili

Ricercatori di sicurezza hanno recentemente identificato una nuova infrastruttura di distribuzione a più livelli dello spyware Predator di Intellexa, che si ritiene sia in uso in almeno undici Paesi, tra cui Angola, Armenia, Botswana, Egitto, Indonesia, Kazakistan, Mongolia, Oman, Filippine, Arabia Saudita e Trinidad e Tobago. In particolare, tale rete risulta essere composta da server di distribuzione e upstream e infrastrutture molto probabilmente associate ai clienti del CSV (Commercial Spyware Vendor). Stando a quanto analizzato, le TTP utilizzate per veicolare il software di sorveglianza sono rimaste costanti nel tempo, indicando verosimilmente il loro continuo successo. A partire dalla metà di ottobre, gli analisti hanno preso atto della ricostruzione dell’infrastruttura di delivery.  I domini individuati prevedono l’uso del typosquatting e impiegano modelli di denominazione che, in base ai servizi e alle organizzazioni spoofate, sono raggruppabili in 8 categorie inerenti a specifiche tematiche, fra cui news, sport, meteo e commercio. Analizzando la nuova infrastruttura, ulteriori ricercatori hanno affermato di non aver notato alcun cambiamento operativo significativo rispetto al presunto utilizzo del software di sorveglianza Intellexa da parte di Kazakistan, Indonesia ed Egitto. Quanto al Madagascar, essi ritengono che i Servizi del Paese abbiano incrementato la loro OpSec, portando all’identificazione di un minor numero di siti. Per quanto riguarda l’Angola, invece, hanno individuato domini malevoli di lingua portoghese che, seppur non direttamente collegati a entità angolane, li porta a valutare con un livello di confidenza medio che i Servizi del Paese abbiano continuato a usare lo spyware fino almeno a metà febbraio 2024. Infine, hanno tracciato domini relativi a tre Stati non documentati nella loro precedente investigazione: Botswana, Mongolia e Sudan.

 ALPHV Team: messa in atto una presunta simulazione del sequestro dell’infrastruttura

Ricercatori di sicurezza sospettano che ALPHV Team stia mettendo in atto una truffa, cercando di chiudere le attività e sottrarre i soldi degli affiliati fingendo che l’FBI abbia sequestrato il loro sito e la loro infrastruttura. La banda ha iniziato la presunta operazione di exit-scam mettendo offline il suo sito dei leak su Tor. Successivamente ha chiuso i server di negoziazione, affermando di aver deciso di spegnere tutto. Questa decisione potrebbe essere legata alle affermazioni di una persona che si descrive come un affiliato di lunga data del gruppo e responsabile dell’attacco al provider americano di servizi sanitari Optum, operatore della piattaforma Change Healthcare. In particolare, l’individuo ha dichiarato che ALPHV Team lo ha bandito dall’operazione RaaS e ha rubato il riscatto ottenuto di 22 milioni di dollari presumibilmente pagato da Optum. In un messaggio su un forum underground, gli amministratori della banda hanno dichiarato di aver deciso di chiudere completamente il progetto, dando la colpa ai federali. Inoltre, il sito di ALPHV mostra un falso banner dove si apprende che l’FBI ha sequestrato il server nell’ambito di un’azione di più Forze dell’Ordine coordinata a livello internazionale. Tuttavia, l’NCA ha dichiarato a fonti giornalistiche di non essere coinvolta in alcuna recente attività di interruzione dell’infrastruttura di ALPHV, anche se è elencata nel falso messaggio di sequestro. Nello specifico, sembrerebbe che il gruppo abbia salvato l’avviso di rimozione dal vecchio sito dei leak e creato un server HTTP Python per riproporlo sul nuovo.

Mar Rosso: colpito il 25% del traffico internet a seguito del danneggiamento di 4 cavi sottomarini

Il provider di servizi internet di Hong Kong HGC Global Communications Limited ha rilasciato un comunicato stampa dove dichiara che tra gli oltre 15 cavi sottomarini posati sul fondo del Mar Rosso, 4 di essi – Seacom, TGN (Tata Communications’ Global Network), AAE-1 (Asia-Africa-Europe 1), EIG (Europe India Gateway) – sono stati tagliati, con un impatto stimato sul 25% del traffico tra Asia, Europa e Medio Oriente, causando un’interruzione significativa delle reti di comunicazione in Medio Oriente. Circa il 15% del traffico asiatico si dirige verso ovest, mentre l’80% passa attraverso tali cavi nel Mar Rosso. Tra le reti colpite figurano: Asia-Africa-Europa 1, un sistema di cavi di 25.000 chilometri che collega il Sudest asiatico all’Europa attraverso l’Egitto; l’Europe India Gateway che connette l’Europa, il Medio Oriente e l’India; TGN, che collega l’India all’Europa, passando per l’Arabia Saudita e l’Egitto; e Seacom, che connette l’Europa all’India passando per l’Egitto e il Kenya e arriva fino al Sudafrica. A inizio febbraio 2024, la General Corporation for Telecommunications dello Yemen e la International Telecommunications Company (TeleYemen) avevano avvertito della possibilità che i ribelli Houthi (gruppo armato yemenita anche noto come Huthi) sostenuti dall’Iran prendessero di mira i cavi. Tali militanti hanno già interrotto le catene di approvvigionamento globali attaccando navi commerciali nel Mar Rosso. Un quotidiano israeliano ha riferito che dietro al danno ai cavi nel Mar Rosso ci siano proprio gli Houthi; tuttavia, il gruppo ha successivamente smentito ogni coinvolgimento.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, consentendo alle organizzazioni di anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.