Alfonso Maruccia

Hacker russi contro hotel europei con gli exploit americani

Individuata una campagna malevola contro l'industria degli hotel europei, un'azione che sarebbe stata perpetrata dagli spioni russi ma approfitterebbe delle vulnerabilitÓ giÓ sfruttate dall'intelligence USA

Roma - Tratteggiando le linee di una storia di cyber-spionaggio degna di un film di James Bond, i ricercatori di FireEye hanno individuato e descritto la nuova azione dei famigerati cyber-guastatori russi che si nascondono dietro la sigla APT28. Un gruppo che sarebbe passato dallo spiare i candidati alle elezioni presidenziali USA all'infiltrazioni delle reti Wi-Fi pubbliche degli hotel sparsi per l'Europa.

Anche noti con il nome di Fancy Bear o Tsar Team, gli hacker APT28 sono infatti tornati in azione e lo hanno fatto usando lo stesso "trucco" sfruttato dalle recenti minacce informatiche ad alto indice di pericolosità come WannaCry e (Not)Petya. I cyber-criminali russi si sono insomma "armati" con EternalBlue, l'exploit capace di abusare del protocollo SMB di Windows per diffondere con estrema rapidità ed efficacia un malware attraverso la rete locale o su Internet.

L'attacco individuato da FireEye comincia come al solito, vale a dire attraverso una campagna di phishing con l'invio di e-mail agli hotel attivi in almeno sette diversi paesi europei e in uno mediorientale. La mail include un allegato.doc infetto, che una volta aperto lancia una macro in grado di decodificare il malware GameFish - uno dei malware noti per essere stati scritti da APT28 - e infettare l'intera rete locale.
Il worm russo è progettato per prendere il controllo dei sistemi responsabili delle reti Wi-Fi interne e degli ospiti, da cui è poi facilissimo compromettere gli utenti registrati e procedere alla compromissione di dati personali o identità, la sorveglianza e altro ancora.

I ricercatori sottolineano le somiglianze tra il modus operandi di GameFish e DarkHotel, un altro attacco APT contro le reti Wi-Fi degli hotel individuato negli anni passati che era però riconducibile a gruppi e interessi completamente differenti. Di certo gli spioni russi di APT28 avranno ringraziato ShadowBrokers, gruppo di criminali che ha favorito la proliferazione di attacchi basati sull'exploit SMB dell'intelligenze USA distribuendo i dettagli del codice in rete.

Alfonso Maruccia
Notizie collegate
  • SicurezzaDarkhotel, viaggiatori cyberspiatiKaspersky denuncia l'esistenza di una pericolosa campagna di cyber-spionaggio ai danni dei dirigenti aziendali che viaggiano molto: sarebbe condotta per mezzo delle reti WiFi degli alberghi e sarebbe tuttora attiva
  • SicurezzaCaso Clinton, nuove accuse alla RussiaL'intelligence russa sarebbe colpevole dell'hacking ai danni di Hillary Clinton e di altri membri del Partito Democratico. E gli attacchi sarebbero iniziati ben prima della campagna elettorale per le presidenziali USA
  • SicurezzaNotPetya, per le vittime c'è speranzaPositive Technologies ha trovato un modo per decifrare i dati sfruttando alcuni errori commessi dagli autori del virus. Tuttavia non Ŕ ancora efficace al 100 per cento. Nel frattempo l'autore del Petya originale rende pubblica la sua chiave di cifratura con l'intento di aiutare
13 Commenti alla Notizia Hacker russi contro hotel europei con gli exploit americani
Ordina
  • Cari "manager" di turno valutate di non incassare prebende più o meno lecite per acquistare software proprietario ed ascoltate il vostro IT: usate solo software FOSS e se non avete qualcosa pagatene lo sviluppo con l'imposizione del rilascio sotto licenze libere GPLv3/AGPLv3 ecc dello stesso su repo pubblici.

    Risparmierete tanto da non riuscire manco a immaginare quanto. Certo, fuori dalla vostra limitata ottica semestrale/annuale, ma vedrete che anche a voi conviene un'ottica un pelino più lunga.
    non+autenticato
  • Più che servizi segreti questi mi sembrano tanto una di quelle sigle in vendita sulla darknet con tutti i malwares preconfezionati.
    non+autenticato
  • - Scritto da: b1fa878b837
    > Più che servizi segreti questi mi sembrano tanto
    > una di quelle sigle in vendita sulla darknet con
    > tutti i malwares
    > preconfezionati.

    Mettere in mezzo altri stati, o sedicenti 'agenzie' serve per dare un po di colpa anche ad altri, del fatto che la rete è diventata un vero colobrodo, grazie alle agenzie a tre lettere usa.
    non+autenticato
  • - Scritto da: b1fa878b837
    > Più che servizi segreti questi mi sembrano tanto
    > una di quelle sigle in vendita sulla darknet con
    > tutti i malwares
    > preconfezionati.
    cosa vuol dire 'ti sembra'? sono svariati anni che societa' di sicurezza catalogano roba che sembra opera loro... e questo gruppo al soldo del GRU russo, lo chiamano 'apt28' (o fancy bear) o con altri nomi ancora prima..
    e' gggente seria, mica un cazzone su AlphaBay o hackforums.netSorride
    non+autenticato
  • > e questo gruppo al soldo del
    > GRU russo

    E' proprio la diffusione questo tipo di cazzate che cercavo di evitare.

    Lo sai a che serviva la storia degli hacker russi? Io pensavo fosse solo una sceneggiata per attirare l'attenzione, invece mi sono reso conto adesso di come stanno sfruttando la storia. Con l'ultimo giro di sanzioni gli americani possono multare le aziende che forniscono alla Russia materiale per gli impianti petroliferi. Tutte le aziende europee di impiantistica (incluse quelle italiane) stanno vendendo materiale per i nuovi gasdotti Nord Stream e South Stream. Questo significa che tra qualche anno gli americanni si possono svegliare e multare le nostre aziende come hanno fatto 4 anni fa con le banche che hanno violato le sanzioni americane con l'Iran (decine di miliardi di eruo rapinati).
    non+autenticato
  • - Scritto da: f66a99c2562
    > > e questo gruppo al soldo del
    > > GRU russo
    >
    > E' proprio la diffusione questo tipo di cazzate
    > che cercavo di
    > evitare.
    >
    > Lo sai a che serviva la storia degli hacker
    > russi? Io pensavo fosse solo una sceneggiata per
    > attirare l'attenzione, invece mi sono reso conto
    > adesso di come stanno sfruttando la storia. Con
    > l'ultimo giro di sanzioni gli americani possono
    > multare le aziende che forniscono alla Russia
    > materiale per gli impianti petroliferi. Tutte le
    > aziende europee di impiantistica (incluse quelle
    > italiane) stanno vendendo materiale per i nuovi
    > gasdotti Nord Stream e South Stream. Questo
    > significa che tra qualche anno gli americanni si
    > possono svegliare e multare le nostre aziende
    > come hanno fatto 4 anni fa con le banche che
    > hanno violato le sanzioni americane con l'Iran
    > (decine di miliardi di eruo
    > rapinati).

    Se non sono gli amerikkanos a rapinarci a noi italioti saranno gli Englishesi!

    Due nazioni(n volutamente minuscola)che meriterebbero le sette piaghe bibliche per quanto mi riguarda.
    non+autenticato
  • Interessante osservazione, in effetti è già cosa nota (si pensi alle multe pagate dall'Italia al WTO, organizzazione *privata*, per i ban alle carni USA OGM) ma per quanto riguarda l'impiantistica è effettivamente nuova, l'unico caso noto sinora che ho letto son le famose turbine Siemens "arrivate" alla Russia tramite "intermediari".
    non+autenticato
  • - Scritto da: f66a99c2562
    > > e questo gruppo al soldo del
    > > GRU russo
    >
    > E' proprio la diffusione questo tipo di cazzate
    > che cercavo di
    > evitare.
    cioe ti sei svegliato complottardo e vedi gli usa come Impero del Male e la democratica russia (e satelliti slavi vari) di putin come un branco di contadini della steppa?

    > Lo sai a che serviva la storia degli hacker
    > russi? Io pensavo fosse solo una sceneggiata per
    > attirare l'attenzione, invece mi sono reso conto
    > adesso di come stanno sfruttando la storia. Con
    > l'ultimo giro di sanzioni gli americani possono
    > multare le aziende che forniscono alla Russia
    > materiale per gli impianti petroliferi. Tutte le
    > aziende europee di impiantistica (incluse quelle
    > italiane) stanno vendendo materiale per i nuovi
    > gasdotti Nord Stream e South Stream. Questo
    > significa che tra qualche anno gli americanni si
    > possono svegliare e multare le nostre aziende
    > come hanno fatto 4 anni fa con le banche che
    > hanno violato le sanzioni americane con l'Iran
    > (decine di miliardi di eruo
    > rapinati).
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: f66a99c2562
    > > > e questo gruppo al soldo del
    > > > GRU russo
    > >
    > > E' proprio la diffusione questo tipo di cazzate
    > > che cercavo di
    > > evitare.
    > cioe ti sei svegliato complottardo e vedi gli usa
    > come Impero del Male e la democratica russia (e
    > satelliti slavi vari) di putin come un branco di
    > contadini della
    > steppa?
    >

    https://it.wikipedia.org/wiki/Argomento_fantoccio
    non+autenticato
  • - Scritto da: 688a27cc210
    > - Scritto da: bubba
    > > - Scritto da: f66a99c2562
    > > > > e questo gruppo al soldo del
    > > > > GRU russo
    > > >
    > > > E' proprio la diffusione questo tipo di
    > cazzate
    > > > che cercavo di
    > > > evitare.
    > > cioe ti sei svegliato complottardo e vedi
    > gli
    > usa
    > > come Impero del Male e la democratica russia
    > (e
    > > satelliti slavi vari) di putin come un
    > branco
    > di
    > > contadini della
    > > steppa?
    > >
    >
    > https://it.wikipedia.org/wiki/Argomento_fantoccio
    occam's razor?
    non+autenticato
  • - Scritto da: bubba

    > occam's razor?

    paradosso di Fermi? Newbie, inesperto
    non+autenticato
  • Ehm, il GRU è il servizio segreto militare, controparte di quel che un tempo era il SISMI italico, dubito che abbia interessi particolare nel mungere qualche albergo.
    non+autenticato