Epic Turla, gli spioni russi che spiano le spie

Kaspersky Labs identifica una nuova campagna di cyber-spionaggio che prende di mira istituzioni e agenzie di intelligence di decine di paesi diversi, un'operazione che apparentemente deve il suo successo ai buchi di Windows XP
Kaspersky Labs identifica una nuova campagna di cyber-spionaggio che prende di mira istituzioni e agenzie di intelligence di decine di paesi diversi, un'operazione che apparentemente deve il suo successo ai buchi di Windows XP

L’ultima campagna di hacking di alto profilo si chiama Epic Turla, ne dà notizia Kaspersky Labs e sembra avere origine in Russia o in paesi di lingua russa. La security enterprise moscovita non approfondisce l’aspetto politico ma un fatto è certo: i responsabili sono ben organizzati e sanno quel che vogliono.

Epic Turla è una “massiccia operazione di cyber-spionaggio” attiva da 10 mesi a questa parte, spiega Kaspersky, un’operazione che ha portato alla compromissione di svariate centinaia di computer in più di 45 paesi (prevalentemente in Europa e Medio Oriente) appartenenti a istituzioni governative, ambasciate, istituti di ricerca, organizzazioni militari e di intelligence e altro ancora.

La testa di ponte dei cracker dietro Epic Turla è rappresentata da due vulnerabilità di sicurezza di tipo zero day, una presente su Windows XP/2003 (CVE-2013-5065) e l’altra nel software Adobe Reader (CVE-2013-3346). Le falle sono state patchate da tempo, ma questo non ha evidentemente rappresentato un problema per l’azione dei cyber-spioni.

Una volta compromesso un PC, dice ancora Kaspersky, la gang di Epic Turla si guadagna i privilegi di accesso al sistema da amministratore e li sfrutta per installare un rootkit e “altri meccanismi di persistenza estrema”. A quel punto il danno è bello che fatto e gli ignoti spioni possono avere accesso completo alle macchine compromesse.

Operazione ancora in corso a luglio 2014, Epic Turla rappresenta l’ennesimo caso di cyber-spionaggio di alto profilo attribuito a organizzazioni russe; un’altra operazione recente riconducibile a questa categoria, Dragonfly , era indirizzata alla compromissione dei sistemi di controllo industriali (ICS) delle utility energetiche di Europa e Nordamerica.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

11 08 2014
Link copiato negli appunti