Olympic Destroyer estende il suo raggio di azione

L’APT sta mostrando interesse in economia, prevenzione di minacce biochimiche e ricerca.

Sembra che Olympic Destroyer, minaccia avanzata che ha provato a sabotare le Olimpiadi Invernali del 2018 in Corea del Sud, sia tornato. I nostri esperti hanno recentemente individuato tracce di attività simili a quelle di Olympic Destroyer; stavolta gli obiettivi sono organizzazioni finanziarie in Russia e laboratori di prevenzione di minacce chimiche e biologiche in Olanda, Germania, Francia, Svizzera e Ucraina.

Qual è il problema?

L’Olympic Destroyer originale impiegava metodi sofisticati per passare inosservato. Innanzitutto usava come esca documenti molto convincenti che contenevano un malware nascosto. In secondo luogo, implementava meccanismi di offuscamento per nascondere i suoi tool agli occhi delle soluzioni di sicurezza. E, caratteristica molto peculiare, utilizzava diverse false flag per rendere più complicata l’analisi delle minacce.

Per quanto riguarda questa nuova minaccia, abbiamo individuato nuovi documenti di spear phishing, con payload che ricordano i tool di Olympic Destroyer. Non ci sono segnali di worm, ma i documenti che abbiamo trovato fino ad ora indicano che si è arrivati a una fase di ricognizione (come nel 2017, tale fase precede il sabotaggio informatico). Nel post di Securelist troverete maggiori dettagli tecnici sul malware e le sue infrastrutture, oltre agli indicatori di un dispositivo compromesso.

Nuovi interessi

La vera notizia riguarda gli obiettivi del nuovo malware. La nostra analisi dei documenti-esca mostrano che stavolta i cybercriminali stanno cercando di infiltrarsi in laboratori che si occupando della prevenzione di minacce chimico-biologiche. Tra i nuovi obiettivi ci sono anche organizzazioni economiche russe, anche se potrebbe essere un’altra false flag.

Oltre agli script offuscati, i documenti contengono riferimenti alla “Spiez Convergence” (conferenza tenutasi in Svizzera rivolta a ricercatori di minacce biochimiche), al gas nervino che sarebbe stato utilizzato per avvelenare Sergei Skripal e sua figlia in Inghilterra e agli ordini del ministro della salute ucraino.

Implicazioni per il vostro business

Di solito, quando parliamo di minacce che si diffondono attraverso il phishing, il nostro primo consiglio è di prestare molta attenzione quando si aprono documenti sospetti. Purtroppo, in questo caso non serve a nulla, poiché i documenti non sembrano sospetti.

I documenti-esca per gli attacchi di spear phishing sono creati su misura per suscitare l’interesse della vittima; perciò, alle aziende europee che si occupano di prevenzione e ricerca di minacce biochimiche consigliamo di richiedere consulenze di sicurezza non programmate. E, ovviamente, di installare soluzioni di sicurezza affidabili. I nostri prodotti individuano e bloccano i malware collegati a Olympic Destroyer.

Consigli