Il gruppo Kaspersky ha rivelato di aver scoperto una backdoor all’interno dell’Internet Information Services (IIS) dei server Microsoft Exchange. Si tratta di una backdoor, denominata SessionManager, di cui il cybercrimine ha approfittato fin dal 2021. Una minaccia seria, spiega Kaspersky, poiché persistente, resistente agli aggiornamenti ed in grado di sottrarre importanti informazioni ai sistemi colpiti.
Backdoor e spionaggio
Tra le righe c’è anche altro. Kaspersky, gruppo messo alla berlina in occidente a causa della possibile connivenza con il Cremlino, si trova a segnalare un malware che sarebbe stato identificato sui sistemi informatici di molti Paesi, per la maggior parte in qualche modo afferenti a quel BRICS che recentemente si è stretto attorno alla Russia in appoggio contro il polo occidentale.
La mappa dei gruppi colpiti (una ventina) parla chiaro in tal senso:
Secondo l’analisi, SessionManager avrebbe punti di contatto con attacchi precedenti la cui natura era legata ad operazioni di spionaggio internazionale: dimmi che l’origine è occidentale senza dirmi che l’origine è occidentale, insomma.
I cybercriminali avrebbero potuto prendere possesso delle mail, installare ulteriori malware ed in generale prendere il controllo del sistema e delle informazioni ivi depositate. Sarebbero 34 i server colpiti, in modo peraltro estremamente mirato, tra NGO, organizzazioni sanitarie, aziende petrolifere, compagnie dei trasporti e altro ancora.
Va ricordato come Kaspersky non sia stato formalmente vietato in occidente, ma al tempo stesso il consiglio delle autorità di sicurezza è stato quello di differenziare la propria fornitura di antivirus (in modo particolare in ambito istituzionale e presso le infrastrutture critiche). Tra le righe vige un consiglio generalizzato ad evitare un software che ha accesso tanto profondo ai sistemi informatici, soprattutto in un momento nel quale la contrapposizione geopolitica si fa tanto intensa e nessuno può permettersi di prestare il fianco ad attacchi informatici o fughe di dati. Per questo motivo il consiglio è quello di passare a nomi più “occidentali” (McAfee, USA; Panda, Spagna; Avast, Repubblica Ceca; BitDefender, Romania; AVG, Olanda; eccetera).
“Tali attacchi possono comportare gravi perdite finanziarie o reputazionali e possono bloccare l’operatività“: secondo Kaspersky si tratta di minacce che rischiano di non essere identificate per lunghi periodi e per questo motivo ancor più gravi e di alto impatto.