Hacker russi contro hotel europei con gli exploit americani

Individuata una campagna malevola contro l'industria degli hotel europei, un'azione che sarebbe stata perpetrata dagli spioni russi ma approfitterebbe delle vulnerabilità già sfruttate dall'intelligence USA

Roma – Tratteggiando le linee di una storia di cyber-spionaggio degna di un film di James Bond, i ricercatori di FireEye hanno individuato e descritto la nuova azione dei famigerati cyber-guastatori russi che si nascondono dietro la sigla APT28 . Un gruppo che sarebbe passato dallo spiare i candidati alle elezioni presidenziali USA all’infiltrazioni delle reti Wi-Fi pubbliche degli hotel sparsi per l’Europa.

Anche noti con il nome di Fancy Bear o Tsar Team , gli hacker APT28 sono infatti tornati in azione e lo hanno fatto usando lo stesso “trucco” sfruttato dalle recenti minacce informatiche ad alto indice di pericolosità come WannaCry e (Not) Petya . I cyber-criminali russi si sono insomma “armati” con EternalBlue, l’exploit capace di abusare del protocollo SMB di Windows per diffondere con estrema rapidità ed efficacia un malware attraverso la rete locale o su Internet .

L’attacco individuato da FireEye comincia come al solito, vale a dire attraverso una campagna di phishing con l’invio di e-mail agli hotel attivi in almeno sette diversi paesi europei e in uno mediorientale. La mail include un allegato.doc infetto, che una volta aperto lancia una macro in grado di decodificare il malware GameFish – uno dei malware noti per essere stati scritti da APT28 – e infettare l’intera rete locale.

Il worm russo è progettato per prendere il controllo dei sistemi responsabili delle reti Wi-Fi interne e degli ospiti , da cui è poi facilissimo compromettere gli utenti registrati e procedere alla compromissione di dati personali o identità, la sorveglianza e altro ancora.

I ricercatori sottolineano le somiglianze tra il modus operandi di GameFish e DarkHotel, un altro attacco APT contro le reti Wi-Fi degli hotel individuato negli anni passati che era però riconducibile a gruppi e interessi completamente differenti. Di certo gli spioni russi di APT28 avranno ringraziato ShadowBrokers, gruppo di criminali che ha favorito la proliferazione di attacchi basati sull’exploit SMB dell’intelligenze USA distribuendo i dettagli del codice in rete.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti