Kaspersky ICS CERT ha rilevato un’ondata di attacchi mirati a imprese del settore militare-industriale e a istituzioni pubbliche in diversi Paesi dell’Europa orientale e in Afghanistan. I criminali informatici sono riusciti a prendere il controllo dell’intera infrastruttura IT delle vittime, a scopo di spionaggio industriale. Milano, 25 agosto 2022 – A gennaio 2022, i ricercatori di Kaspersky hanno assistito a diversi attacchi avanzati rivolti a imprese militari e organizzazioni pubbliche, il cui obiettivo principale era accedere alle informazioni private delle aziende e ottenere il controllo dei sistemi IT. Il malware utilizzato dagli attaccanti è simile a quello distribuito da TA428 APT, un gruppo APT di lingua cinese. Gli attaccanti si infiltrano nelle reti aziendali inviando e-mail di phishing accuratamente elaborate, alcune delle quali contengono informazioni specifiche sull’organizzazione che non sono state rese pubbliche al momento dell’invio delle e-mail. Ciò indica come gli attaccanti preparino gli attacchi con cura selezionando i loro obiettivi in anticipo. Le e-mail di phishing includono un documento Microsoft Word con codice dannoso per sfruttare una vulnerabilità che consente agli attaccanti di eseguire un codice arbitrario senza alcuna attività aggiuntiva. La vulnerabilità è presente nelle versioni obsolete di Microsoft Equation Editor, un componente di Microsoft Office. Inoltre, gli attaccanti hanno utilizzato contemporaneamente sei diverse backdoor, per creare ulteriori canali di comunicazione con i sistemi infetti in caso di rilevamento e rimozione di uno dei programmi dannosi da parte di una soluzione di sicurezza. Queste backdoor forniscono ampie funzionalità per controllare i sistemi infetti e raccogliere dati riservati. La fase finale dell’attacco prevede il trasferimento del controller di dominio e il controllo completo di tutte le workstation e i server dell’organizzazione. Inoltre, in uno dei casi, gli autori dell’attacco sono riusciti a prendere il sopravvento sul centro di controllo delle soluzioni di CYBERsecurity. Dopo aver ottenuto i privilegi di amministratore di dominio e l’accesso all’Active Directory, gli attaccanti hanno eseguito la procedura di attacco “golden ticket” per impersonare gli account utente arbitrari dell’organizzazione e cercare documenti e altri file contenenti dati sensibili ed esfiltrarli nei server degli attaccanti ospitati in diversi Paesi. ”Gli attacchi Golden Ticket sfruttano il protocollo di autenticazione predefinito utilizzato a partire dalla versione di Windows 2000. Falsificando i Ticket Granting Ticket (TGT) di Kerberos all’interno della rete aziendale, gli attaccanti possono accedere autonomamente a qualsiasi servizio appartenente alla rete per un tempo illimitato. Di conseguenza, non sarà sufficiente cambiare le password o bloccare gli account compromessi. Il nostro consiglio è di controllare attentamente tutte le attività sospette e di affidarsi a soluzioni di sicurezza affidabili,” ha commentato Vyacheslav Kopeytsev, Security Expert di ICS CERT Kaspersky. Per saperne di più su questo tipo di attacchi mirati, è possibile consultare il sito Kaspersky ICS CERT. Per mantenere i computer ICS protetti da varie minacce, gli esperti di Kaspersky consigliano di: Informazioni su Kaspersky ICS CERT Kaspersky Industrial Control Systems CYBER Emergency Response Team (Kaspersky ICS CERT) è un progetto globale lanciato da Kaspersky nel 2016 per coordinare gli sforzi di fornitori di sistemi di automazione, proprietari e operatori di impianti industriali e ricercatori di sicurezza IT per proteggere le imprese industriali dagli attacchi informatici. Kaspersky ICS CERT dedica i propri sforzi principalmente all’identificazione delle minacce potenziali ed esistenti che prendono di mira i sistemi di automazione industriale e l’Industrial Internet of Things. Kaspersky ICS CERT è membro attivo e partner di importanti organizzazioni internazionali che sviluppano raccomandazioni sulla protezione delle imprese industriali dalle minacce informatiche ics-cert.kaspersky.com/Informazioni su Kaspersky Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/Seguici su:https://twitter.com/KasperskyLabIThttp://www.facebook.com/kasperskylabitaliahttps://www.linkedin.com/company/kaspersky-lab-italiahttps://www.instagram.com/kasperskylabitalia/https://t.me/KasperskyItalia