Kaspersky ICS CERT ha rilevato un’ondata di attacchi mirati a imprese del settore militare-industriale e a istituzioni pubbliche in diversi Paesi dell’Europa orientale e in Afghanistan. I criminali informatici sono riusciti a prendere il controllo dell’intera infrastruttura IT delle vittime, a scopo di spionaggio industriale. Milano, 25 agosto 2022 – A gennaio 2022, i ricercatori di Kaspersky hanno assistito a diversi attacchi avanzati rivolti a imprese militari e organizzazioni pubbliche, il cui obiettivo principale era accedere alle informazioni private delle aziende e ottenere il controllo dei sistemi IT. Il malware utilizzato dagli attaccanti รจ simile a quello distribuito da TA428 APT, un gruppo APT di lingua cinese. Gli attaccanti si infiltrano nelle reti aziendali inviando e-mail di phishing accuratamente elaborate, alcune delle quali contengono informazioni specifiche sull’organizzazione che non sono state rese pubbliche al momento dell’invio delle e-mail. Ciรฒ indica come gli attaccanti preparino gli attacchi con cura selezionando i loro obiettivi in anticipo. Le e-mail di phishing includono un documento Microsoft Word con codice dannoso per sfruttare una vulnerabilitร che consente agli attaccanti di eseguire un codice arbitrario senza alcuna attivitร aggiuntiva. La vulnerabilitร รจ presente nelle versioni obsolete di Microsoft Equation Editor, un componente di Microsoft Office. Inoltre, gli attaccanti hanno utilizzato contemporaneamente sei diverse backdoor, per creare ulteriori canali di comunicazione con i sistemi infetti in caso di rilevamento e rimozione di uno dei programmi dannosi da parte di una soluzione di sicurezza. Queste backdoor forniscono ampie funzionalitร per controllare i sistemi infetti e raccogliere dati riservati. La fase finale dell’attacco prevede il trasferimento del controller di dominio e il controllo completo di tutte le workstation e i server dell’organizzazione. Inoltre, in uno dei casi, gli autori dell’attacco sono riusciti a prendere il sopravvento sul centro di controllo delle soluzioni di CYBERsecurity. Dopo aver ottenuto i privilegi di amministratore di dominio e l’accesso all’Active Directory, gli attaccanti hanno eseguito la procedura di attacco “golden ticket” per impersonare gli account utente arbitrari dell’organizzazione e cercare documenti e altri file contenenti dati sensibili ed esfiltrarli nei server degli attaccanti ospitati in diversi Paesi. ”Gli attacchi Golden Ticket sfruttano il protocollo di autenticazione predefinito utilizzato a partire dalla versione di Windows 2000. Falsificando i Ticket Granting Ticket (TGT) di Kerberos all’interno della rete aziendale, gli attaccanti possono accedere autonomamente a qualsiasi servizio appartenente alla rete per un tempo illimitato. Di conseguenza, non sarร sufficiente cambiare le password o bloccare gli account compromessi. Il nostro consiglio รจ di controllare attentamente tutte le attivitร sospette e di affidarsi a soluzioni di sicurezza affidabili,” ha commentato Vyacheslav Kopeytsev, Security Expert di ICS CERT Kaspersky. Per saperne di piรน su questo tipo di attacchi mirati, รจ possibile consultare il sito Kaspersky ICS CERT. Per mantenere i computer ICS protetti da varie minacce, gli esperti di Kaspersky consigliano di: Informazioni su Kaspersky ICS CERT Kaspersky Industrial Control Systems CYBER Emergency Response Team (Kaspersky ICS CERT) รจ un progetto globale lanciato da Kaspersky nel 2016 per coordinare gli sforzi di fornitori di sistemi di automazione, proprietari e operatori di impianti industriali e ricercatori di sicurezza IT per proteggere le imprese industriali dagli attacchi informatici. Kaspersky ICS CERT dedica i propri sforzi principalmente all’identificazione delle minacce potenziali ed esistenti che prendono di mira i sistemi di automazione industriale e l’Industrial Internet of Things. Kaspersky ICS CERT รจ membro attivo e partner di importanti organizzazioni internazionali che sviluppano raccomandazioni sulla protezione delle imprese industriali dalle minacce informatiche ics-cert.kaspersky.com/Informazioni su Kaspersky Kaspersky รจ un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Piรน di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciรฒ che รจ per loro piรน importante. Per ulteriori informazioni: https://www.kaspersky.it/Seguici su:https://twitter.com/KasperskyLabIThttp://www.facebook.com/kasperskylabitaliahttps://www.linkedin.com/company/kaspersky-lab-italiahttps://www.instagram.com/kasperskylabitalia/https://t.me/KasperskyItalia
