Il nuovo report pubblicato da Bitdefender fa luce sull’attività di StrongPity, un ATP (Advanced Persistent Threat) che di recente ha concentrato la propria attenzione su vittime localizzate nei territori di Turchia e Siria. La tecnica adottata è quella del watering hole.
StrongPity e l’Operazione Sorgente di Pace
Per portare a termine i propri attacchi i responsabili hanno utilizzato strumenti molto diffusi come soluzioni per l’archiviazione dei dati, altre per il ripristino delle informazioni perdute, tool per la connessione remota ai dispositivi e persino alcuni software di sicurezza. L’obiettivo in tutti i casi è stato quello di sfruttarli in qualità di cavallo di Troia per infiltrarsi nei sistemi e ottenere i privilegi necessari all’esecuzione di azioni malevole.
Stando a quanto emerso ad essere presa di mira è in particolare la comunità curda il che fa pensare a un’operazione messa in campo con l’obiettivo preciso di influire sul contesto geopolitico già duramente provato dai conflitti nell’area. La campagna ha avuto inizio l’1 ottobre 2019, pochi giorni prima che il governo di Ankara lanciasse un’offensiva nel nord-est della Siria con la cosiddetta Operazione Sorgente di Pace.
Al momento non vi è alcun legame dimostrato tra StrongPity e le operazioni militare turche, ma il profilo delle vittime e la tempistica portano a non escludere alcuna ipotesi. Un dettaglio interessante è quello che riguarda la compilazione dei software impiegati negli attacchi: è sempre avvenuta dal lunedì al venerdì e tra le 9 e le 18. Questo suggerisce che gli autori siano in qualche modo da collegare a una realtà professionale in piena regola.
Le vittime vengono vagliate sulla base di un elenco target, suggerendo che gli aggressori possono fornire la versione contaminata delle applicazioni “trojanizzate” se l’indirizzo IP della vittima corrisponde a quello trovato nel file, altrimenti verrebbe fornita una versione originale dell’applicazione.
Secondo Bitdefender in seguito alla compromissione ai sistemi colpiti vengono inviate istruzioni specifiche e prende il via un’operazione di sottrazione dei dati attraverso una ricerca di file con estensioni specifiche: quando trovati sono inseriti in un archivio ZIP temporaneo, poi divisi in file crittografati con estensione SFT e nascosti per poi essere spediti al server C&C prima della cancellazione in modo da non lasciare traccia.