Weekly Threats N. 26 2022

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

• KillNet: esteso attacco DDoS contro portali lituani
• Dragonbridge: nuova campagna d’influenza pro-Pechino
• Predatory Sparrow: colpite tre delle principali acciaierie iraniane

Continuano le offensive da parte del gruppo filorusso KillNet. Nella settimana appena conclusa il collettivo ha rivendicato un esteso attacco DDoS condotto contro target lituani quale rappresaglia all’applicazione delle sanzioni al traffico ferroviario di merci tra la Bielorussia e l’enclave di Kaliningrad. Inoltre, ha pubblicato una lista di target norvegesi relativi a vari settori e rivendicato un’offensiva ai danni della società ucraina ROSHEN.

Restando nell’ambito del conflitto russo-ucraino, la Cyber Police ucraina ha arrestato 9 membri di un gruppo criminale che gestiva oltre 400 siti di phishing. Creati appositamente per sembrare portali legittimi dell’Unione Europea, le pagine web fingevano di fornire assistenza finanziaria ai cittadini ucraini. Sempre la scorsa settimana, il CERT-UA ha ricevuto segnalazioni in merito alla distribuzione di e-mail con il fine di veicolare Dark Crystal RAT presumibilmente contro operatori e provider di servizi per le telecomunicazioni.

Per quanto riguarda il panorama state-sponsored, emergono novità dal versante asiatico. Il nordcoreano Lazarus Group è sospettato di essere il responsabile del recente attacco all’Horizon Bridge della piattaforma blockchain Harmony, che ha portato al furto di oltre 100 milioni di dollari in criptovalute. Spostandoci a Pechino, un gruppo cinese non ancora identificato ha condotto una serie di attacchi su larga scala basati sull’utilizzo della backdoor ShadowPad e che prendono di mira gli Industrial Control System (ICS) di un porto in Malesia e di diverse organizzazioni del settore manifatturiero e delle telecomunicazioni in Pakistan e Afghanistan. Inoltre, una campagna digitale d’influenza denominata Dragonbridge, sempre di matrice cinese, è tornata alla ribalta. L’operazione è incentrata sul dibattito pubblico relativo al settore produttivo di metalli e terre rare (REE) e condotta a supporto degli interessi economici e politici di Pechino. Dal punto di vista operativo, la campagna sfrutta un network composto da migliaia di falsi profili presenti su numerosi social media, piattaforme digitali, siti internet e forum di settore per diffondere narrative di vario tipo.

Dal mondo hactivista, Predatory Sparrow – gruppo noto per aver rivendicato nell’ottobre 2021 l’offensiva alle stazioni di servizio in Iran – ha condotto attacchi informatici contro 3 delle principali acciaierie iraniane. Il collettivo ha annunciato di aver violato la Mobarakeh Steel Company nella provincia centrale di Esfahan, la Khuzestan Steel Company nel sud-ovest dell’Iran, vicino ad Ahvaz, e la Hormozgan Steel Company nel sud.