Gli hacker iraniani che stanno minacciando le aziende aerospaziali

AGI - Hacker sostenuti dallo Stato iraniano stanno portando avanti dal 2018 una campagna di spionaggio informatico contro grandi aziende del settore aerospaziale e delle telecomunicazioni in Medio Oriente, Stati Uniti, Europa e Russia. Lo svela un rapporto di Cybereason, società Usa attiva nel campo della sicurezza informatica.

Il rapporto identifica come autore della campagna di cyberspionaggio un nuovo gruppo di hacker iraniani, denominato MalKamak, che costituisce "una minaccia ancora attiva a livello globale". Gli hacker, secondo i ricercatori di Cybereason, sfruttano un Trojan di accesso remoto (RAT) molto sofisticato e non ancora scoperto, soprannominato ShellClient, che elude gli strumenti antivirus e altri apparati di sicurezza e abusa del servizio cloud pubblico Dropbox per il comando e il controllo.

Bersaglio degli attacchi sono alcune delle più grandi compagnie globali dell'aerospazio e delle telecomunicazioni. La maggior parte delle violazioni sono avvenute ai danni di operatori mediorientali. Sono stati colpiti obiettivi anche in Usa, Europa e Russia, che non appaiono pero' come i bersagli principali. Il rapporto, intitolato "Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms", rivela possibili connessioni con diversi gruppi di hacker sponsorizzati dallo stato iraniano, tra cui Chafer APT (APT39) e Agrius APT.

Questi indizi lasciano emergere quindi un sostegno, se non una regia diretta, delle autorità della Repubblica Islamica. Il RAT è stato reso operativo per la prima volta nel 2018 ed è da allora in continuo sviluppo. Ogni nuova versione aggiungeva più caratteristiche e capacità di sfuggire ai controlli e gli attacchi sono continuati almeno fino al settembre 2021.

Le versioni più recenti di ShellClient abusano dei servizi di archiviazione sul cloud per il comando e il controllo (C2), in questo caso il popolare servizio Dropbox, al fine di passare inosservati e confondersi con normale traffico di rete, spiega il rapporto.

"Gli autori di ShellClient hanno investito molti sforzi per eludere il rilevamento da parte di antivirus e altri strumenti di sicurezza", sottolineano i rapporti di Cybereason, "l'attacco utilizza molteplici tecniche di offuscamento e l'abuso di un client Dropbox lo rende molto difficile da rilevare".

"Utilizzando il RAT ShellClient, gli hacker hanno inoltre messo in campo ulteriori strumenti di attacco per portare a termine varie attività di spionaggio suile reti nel loro mirino, tra cui la ricognizione aggiuntiva, il movimento laterale e la raccolta ed esfiltrazione di dati sensibili", spiegano ancora i ricercatori, già autori del recente rapporto DeadRinger, che mise alla luce campagne di spionaggio informatico cinesi ai danni di aziende di telecomunicazioni.

"L'Operazione GhostShell ha rivelato un RAT complesso in grado di eludere il rilevamento già dal 2018, e DeadRinger ha scoperto una minaccia altrettanto elusiva già dal 2017, il che ci dice molto su come i criminali informatici dispongano di strumenti avanzati e continuino ad aggirare le misure di sicurezza", ha commentato Lior Div, amministratore delegato e co-fondatore di Cybereason.