Secondo alcune aziende di intelligence che si occupano di sicurezza informatica, i malfattori e gli hacker sponsorizzati dai governi stanno approfittando dell’attuale pandemia di coronavirus per spiare gli avversari e ingannare gli utenti.
di Patrick Howell O’Neill
Gruppi di hacker appoggiati dai governi cinese e russo, tra gli altri, hanno inviato allegati e-mail malevoli sul virus nelle ultime settimane. Le aziende di sicurezza informatica FireEye e Check Point hanno denunciato azioni di hackeraggio nei confronti di Vietnam, Filippine, Taiwan e Mongolia. Secondo Ben Read, un analista di intelligence senior di FireEye, gli hacker, sostenuti dal governo cinese, stanno inviando allegati di posta elettronica con informazioni autentiche sullo sviluppo del coronavirus, ma intrecciate con malware come Sogu e Cobalt Strike.
“Le ‘esche’ sono dichiarazioni reali da parte di leader politici o consigli autentici per le persone in ansia per la malattia, probabilmente prese da fonti pubbliche”, ha spiegato Read.
Un gruppo russo noto come TEMP.Armageddon ha inviato e-mail di spear-phishing a obiettivi ucraini. Lo spear-phishing è una tattica utilizzata dagli hacker per inviare collegamenti dannosi appositamente predisposti che inducono gli obiettivi a fare un clic, diventando infetti inconsapevolmente.
Gli analisti di FireEye sospettano inoltre che un recente attacco di questo tipo contro un bersaglio sudcoreano sia opera di hacker nordcoreani. La Cina e la Corea del Sud sono state particolarmente colpite da queste attività di hacking. L’email di phishing aveva il titolo in lingua coreana “Corrispondenza sul coronavirus”.
“Ci si aspetta di ottenere informazioni da fonti governative, quindi è molto probabile che si aprano questi documenti per vedere cosa dicono”, ha dichiarato Lotem Finkelstein, capo dell’intelligence sulle minacce all’azienda israeliana Check Point. “L’epidemia di coronavirus si presta molto bene a mascherare attacchi di phishing”.
I criminali
Oltre alle attività in corso da parte di hacker sponsorizzati dai governi, i criminali informatici stanno sfruttando il caos legato agli eventi attuali. Già negli anni scorsi, gli hacker hanno strumentalizzato l’ansia legate alle epidemie di Ebola, Zika e SARS per fare soldi.
“Il phishing sul tema coronavirus ha avuto un considerevole incremento su base mensile da gennaio a oggi”, ha dichiarato FireEye in una nota. “Prevediamo che altri hacker approfitteranno di questa opportunità a causa della rilevanza globale del tema”. L’interesse per le notizie relative al virus induce gli utenti a fare clic su collegamenti dannosi”, hanno dichiarato ricercatori dell’azienda di cyberintelligence RiskIQ.
Nel corso degli anni, anche se relativamente semplice, il phishing – l’invio di un collegamento o di un file destinato a infettare chiunque fa clic – è il tipo di attacco più comune e di successo. Gli hacker che cercano di trarre vantaggio dal coronavirus hanno preso di mira persone e aziende con e-mail false che affermavano di provenire da organizzazioni fidate come i Centers for Disease Control (CDC) e l’Organizzazione mondiale della sanità.
Le e-mail di phishing promettono di tutto, dalle informazioni sulle cure alle attrezzature mediche. In realtà, mirano a diffondere malware o rubare password nel tentativo di fare profitti con il caos. Gli hacker stanno cercando obiettivi in tutto il mondo, ma alcuni si sono concentrati sui paesi più colpiti. L’Italia, che finora è il paese più colpito dalla pandemia al di fuori dell’Asia, è stata sommersa da una campagna di phishing contro le imprese.
Le e-mail false, che fingono di essere dell’Organizzazione mondiale della sanità, promettono misure precauzionali che gli italiani possono prendere sotto forma di un documento di Microsoft Word, ma scaricheranno in realtà un trojan bancario chiamato Trickbot volto a rubare ingenti somme di denaro.
Anche se il mittente dell’e-mail dichiara di essere legato all’OMS, il dominio del mittente non corrisponde al sito Web who.int dell’Organizzazione mondiale della sanità. Il Giappone, un altro paese che sta fronteggiando un focolaio di grandi proporzioni, sta a sua volta affrontando campagne di hacking mirate che fingono di offrire informazioni sul coronavirus dalle autorità sanitarie.
“Gli aggressori stanno anche minacciando la credibilità interna delle imprese con i loro attacchi”, hanno scritto ricercatori della società informatica Proofpoint. “Abbiamo visto una campagna che utilizza un’e-mail sul tema Coronavirus progettata per assomigliare a un’e-mail interna indirizzata dal presidente dell’azienda a tutti i dipendenti … Questa e-mail è estremamente ben realizzata e inganna facilmente”.
I dashboard online sono diventati lo standard di fatto in quanto il mondo intero sta monitorando la diffusione di questa malattia. Circolano dashboard “infetti” che distribuiscono un’applicazione che copre la diffusione del malware AZORult per Windows per rubare dati personali e finanziari, criptovaluta e qualsiasi altra cosa di valore. La miglior difesa è mantenere aggiornata la tecnologia, non scaricare software o fare clic su collegamenti da persone sconosciute e attenersi a fonti autorevoli per notizie su argomenti importanti.
(rp)
