LABSCON – Scottsdale, Arizona – Un nuovo attore di minacce che ha infettato una società di telecomunicazioni in Medio Oriente e diversi provider di servizi Internet e università in Medio Oriente e Africa è responsabile di due piattaforme malware "estremamente complesse", ma molto sul gruppo che rimane avvolto nel mistero, secondo una nuova ricerca qui rivelata oggi.
I ricercatori di SentintelLabs, che hanno condiviso le loro scoperte alla prima conferenza sulla sicurezza LabsCon, hanno chiamato il gruppo Metador, sulla base della frase "I am meta" che appare nel codice dannoso e del fatto che i messaggi del server sono in genere in spagnolo. Si ritiene che il gruppo sia attivo da dicembre 2020, ma negli ultimi anni ha volato con successo sotto i radar. Juan Andrés Guerrero-Saade, direttore senior di SentinelLabs, ha affermato che il team ha condiviso informazioni su Metador con ricercatori di altre società di sicurezza e partner governativi, ma nessuno sapeva nulla del gruppo.
I ricercatori di Guerrero-Saade e SentinelLabs Amitai Ben Shushan Ehrlich e Aleksandar Milenkoski hanno pubblicato un post sul blog ed dettagli tecnici sulle due piattaforme malware, metaMain e Mafalda, nella speranza di trovare più vittime che sono state infettate. "Sapevamo dov'erano, non dove sono ora", ha detto Guerrero-Saade.
MetaMain è una backdoor in grado di registrare l'attività del mouse e della tastiera, acquisire schermate ed esfiltrare dati e file. Può anche essere utilizzato per installare Mafalda, un framework altamente modulare che offre agli aggressori la possibilità di raccogliere informazioni sul sistema e sulla rete e altre capacità aggiuntive. Sia metaMain che Mafalda funzionano interamente in memoria e non si installano sul disco rigido del sistema.
Comico politico
Si ritiene che il nome del malware sia stato ispirato da Mafalda, un popolare cartone animato in lingua spagnola proveniente dall'Argentina che commenta regolarmente argomenti politici.
Metador imposta indirizzi IP univoci per ogni vittima, assicurando che anche se un comando e un controllo vengono scoperti, il resto dell'infrastruttura rimane operativo. Questo rende anche estremamente difficile trovare altre vittime. Accade spesso che quando i ricercatori scoprono l'infrastruttura di attacco, trovano informazioni appartenenti a più vittime, il che aiuta a mappare l'entità delle attività del gruppo. Poiché Metador mantiene separate le sue campagne target, i ricercatori hanno solo una visione limitata delle operazioni di Metador e del tipo di vittime che il gruppo sta prendendo di mira.
Ciò che al gruppo non sembra importare, tuttavia, è mescolarsi con altri gruppi di attacco. La società di telecomunicazioni mediorientale che è stata una delle vittime di Metador è stata già compromessa da almeno altri 10 gruppi di attacco di stati nazione, hanno scoperto i ricercatori. Molti degli altri gruppi sembravano essere affiliati alla Cina e all'Iran.
Più gruppi di minacce che prendono di mira lo stesso sistema vengono talvolta definiti "magneti di minacce", poiché attraggono e ospitano contemporaneamente i vari gruppi e piattaforme malware. Molti attori di stati nazione si prendono il tempo per rimuovere le tracce di infezione da altri gruppi, arrivando persino a riparare i difetti utilizzati dagli altri gruppi, prima di svolgere le proprie attività di attacco. Il fatto che Metador abbia infettato malware su un sistema già compromesso (ripetutamente) da altri gruppi suggerisce che al gruppo non interessa cosa farebbero gli altri gruppi, hanno affermato i ricercatori di SentinelLabs.
È possibile che la società di telecomunicazioni fosse un bersaglio di così alto valore che il gruppo fosse disposto a correre il rischio di essere scoperto poiché la presenza di più gruppi sullo stesso sistema aumenta la probabilità che la vittima si accorga di qualcosa di sbagliato.
Shark Attack
Sebbene il gruppo sembri disporre di risorse estremamente adeguate, come evidenziato dalla complessità tecnica del malware, dalla sicurezza operativa avanzata del gruppo per eludere il rilevamento e dal fatto che è in fase di sviluppo attivo, Guerrero-Saade ha avvertito che non era abbastanza per determinare che c'era un coinvolgimento dello stato-nazione. È possibile che Metador possa essere il prodotto di un appaltatore che lavora per conto di uno stato-nazione, poiché ci sono segni che il gruppo fosse altamente professionale, ha detto Geurrero-Saade. E i membri potrebbero avere una precedente esperienza nell'esecuzione di questo tipo di attacchi a questo livello, ha osservato.
"Riteniamo che la scoperta di Metador sia simile a una pinna di squalo che viola la superficie dell'acqua", hanno scritto i ricercatori, sottolineando che non hanno idea di cosa stia succedendo sotto. "È un motivo di presagio che conferma la necessità per il settore della sicurezza di progettare in modo proattivo per rilevare la vera crosta superiore degli attori delle minacce che attualmente attraversano le reti impunemente".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
