La nuova minaccia cyber arriva direttamente dall’Iran
L’accusa è grave: un gruppo hacker iraniano, alle cui spalle sembra potrebbe esserci anche il governo di Teheran, sta prendendo di mira le aziende globali del settore aerospaziale e delle telecomunicazioni, utilizzando anche un nuovo Trojan molto sofisticato e praticamente sconosciuto. A lanciare l’allarme è Cybereason, azienda americana che si occupa di sicurezza informatica, fondata a Boston nel 2012 e che ha sedi sparse in tutto il mondo. Il rapporto reso noto dalla società identifica il nuovo gruppo di hacker iraniani, soprannominato MalKamak, e che opererebbe dal 2018, mantenendosi però nell’ombra.
I ricercatori di Cybereason hanno osservato che la minaccia, ancora attiva a livello globale, sfrutta un Trojan di accesso remoto molto sofisticato e non ancora scoperto, soprannominato ShellClient, che elude gli strumenti antivirus e altri apparati di sicurezza e abusa del servizio cloud pubblico Dropbox per il comando e il controllo.
Intitolato “Operation GhostShell: Novel Rat Targets Global Aerospace and Telecoms Firms”, il rapporto ha individuato gli attacchi contro aziende in Medio Oriente, Stati Uniti, Europa e Russia. L’indagine rivela possibili connessioni con diversi gruppi di hacker sponsorizzati dallo Stato iraniano, tra cui Chafer e Agrius. La pubblicazione di questo rapporto segue quella del rapporto DeadRinger, anch’esso stilato dai ricercatori di Cybereason, che presentava la scoperta di molteplici campagne Apt cinesi rivolte contro aziende di telecomunicazione.
I risultati più importanti contenuti nel rapporto sull’Operazione GhostShell includono: La scoperta di un nuovo gruppo di hacker; è stato identificato, infatti, un vero e proprio “piano d’azione” denominato MalKamak, sponsorizzato dallo Stato iraniano e fino ad oggi mai documentato; La scoperta di ShellClient Rat, un sofisticato Remote Access Trojan soprannominato ShellClient, il quale non era mai stato osservato prima e che verrebbe utilizzato per operazioni di spionaggio informatico altamente mirate.
La minaccia è rivolta contro aziende aerospaziali e di telecomunicazioni. Gli attacchi sono stati osservati prevalentemente nella regione del Medio Oriente, ma si estendono anche a Stati Uniti, Russia ed Europa. Lo sviluppo di questo attacco sarebbe in corso dal 2018: Il Rat GhostClient è stato reso operativo per la prima volta nel 2018 ed è da allora in continuo sviluppo. Ogni nuova versione aggiungeva più caratteristiche e stealth, e gli attacchi sono continuati almeno fino al settembre 2021. Il gruppo iraniano sfrutterebbe l’abuso dei servizi cloud: è stato rilevato che le versioni più recenti di ShellClient abusano dei servizi di archiviazione sul cloud per il comando e il controllo, in questo caso il popolare servizio Dropbox, al fine di passare inosservati e confondersi così con il normale traffico di rete.
Il malware è appositamente progettato per la furtività: Gli autori di ShellClient hanno investito molti sforzi per eludere il rilevamento da parte di antivirus e altri strumenti di sicurezza. L’attacco utilizza molteplici tecniche di occultamento e attraverso un client Dropbox per il comando e controllo, si rende molto difficile da rilevare.
I ricercatori di Cybereason hanno trovato anche possibili connessioni con Apt iraniane: L’indagine traccia interessanti contatti con diversi attori di minacce sponsorizzate dallo stato iraniano, tra cui Chafer Apt e Agrius Apt. Utilizzando il Rat ShellClient, il gruppo dietro a questa minaccia ha anche implementato ulteriori strumenti di attacco per portare a termine varie attività di spionaggio sui network nel loro mirino, tra cui la ricognizione aggiuntiva, il movimento laterale e la raccolta ed esfiltrazione di dati sensibili. Secondo i ricercatori, l’operazione GhostShell è gestita da un gruppo di hacker sponsorizzato dallo Stato, e cade quindi nella categoria degli Advanced Persistent Threats.
