Ucraina ancora sotto attacco, scoperti tre RAT

Scoperta una nuova campagna di spionaggio ai danni di istituzioni governative ucraine. Grazie alla telemetria di ESET è stato possibile ricondurre gli attacchi di tre RAT (Remote Access Trojan) allo stesso gruppo hacker.

I malware sono noti come Quasar, Sobaken e Vermin, tutti condividono parte dell’infrastruttura e gli stessi server di C&C. Il metodo primario di infezione resta la posta elettronica, e in molti casi sono stati adottate metodologie di social engineering (leggi: trarre in inganno gli utenti) per far scaricare e installare i codici malevoli sui PC.

Per assicurare che le infezioni non escano dall’area geografica interessata, i malware cessano di funzionare se vedono che il layout della tastiera è diverso da quello in lingua ucraina o russa, oppure se l’IP del device vittima è fuori dai range attribuiti a Ucraina e Russia.

ESET ha contato “diverse centinaia” di infezioni all’interno di differenti istituzioni governative in Ucraina, commentando che i RAT sono stati usati per rubare documenti sensibili dai computer infetti.

Maggiori informazioni sul blog di ESET e in questo whitepaper.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.