Il mondo oscuro del cyber spionaggio si arricchisce di un nuovo protagonista: un malware noto come “LostKeys”. Secondo quanto riportato da Google, un gruppo di hacker sostenuto dallo stato russo, chiamato COLDRIVER, ha iniziato a utilizzare LostKeys dall’inizio dell’anno per monitorare governi occidentali, giornalisti, centri di ricerca e organizzazioni non governative.
google rivela lostkeys, un malware legato alla russia
Il Threat Intelligence Group (GTIG) di Google ha identificato LostKeys per la prima volta nel mese di gennaio. COLDRIVER ha impiegato questo malware in attacchi mirati definiti “ClickFix”, che possono essere descritti come truffe digitali in cui gli utenti vengono indotti a eseguire script PowerShell dannosi. Gli attacchi ClickFix si basano su tecniche classiche di social engineering.
Una volta avviati questi script, viene aperta la strada per scaricare ed eseguire ulteriori operazioni malevole tramite PowerShell. L’obiettivo principale è l’installazione di LostKeys, riconosciuto da Google come un malware per il furto di dati basato su Visual Basic Script (VBS). Secondo il rapporto del GTIG, LostKeys agisce come un “aspirapolvere digitale” capace di estrarre file e directory specifiche. Inoltre, raccoglie informazioni sul sistema e invia processi agli aggressori.
Il modus operandi abituale di COLDRIVER prevede il furto delle credenziali d’accesso per appropriarsi di email e contatti. Sono noti anche per l’utilizzo di un altro malware chiamato SPICA, utilizzato per rubare documenti e file. LostKeys sembra avere uno scopo simile ma viene utilizzato solo in casi “altamente selettivi”, suggerendo che rappresenta uno strumento più specializzato nel kit degli strumenti spionistici di COLDRIVER.
In modo interessante, COLDRIVER non è l’unico gruppo sostenuto dallo stato ad utilizzare queste tecniche ClickFix. Il cyber sottobosco sembra apprezzare questo approccio, con gruppi associati alla Corea del Nord (Kimsuky), all’Iran (MuddyWater) e ad altri attori russi (APT28 e UNK_RemoteRogue) che adottano metodi simili nelle loro recenti campagne spionistiche.
coldriver attivo dal 2017
COLDRIVER è conosciuto anche con altri nomi, come Star Blizzard e Callisto Group. Questo gruppo ha affinato le proprie abilità in social engineering e open-source intelligence per ingannare i propri obiettivi almeno dal 2017. I bersagli hanno incluso organizzazioni governative e della difesa, ONG e politici. Gli attacchi del gruppo sono aumentati notevolmente dopo l’invasione russa dell’Ucraina, espandendosi persino a siti industriali della difesa e strutture del Dipartimento dell’Energia degli Stati Uniti.
Il Dipartimento di Stato degli Stati Uniti ha persino imposto sanzioni a diversi membri operativi di COLDRIVER (uno dei quali risulta essere un ufficiale dell’FSB). Attualmente, le autorità statunitensi offrono una ricompensa sostanziosa di 10 milioni di dollari per informazioni utili al rintracciamento degli altri membri del gruppo. Ciò riflette la serietà con cui gli Stati Uniti stanno affrontando questa minaccia.
Lascia un commento