Lo strano caso di SecuriElite, l'azienda fantasma di cybersecurity
Azienda e dipendenti falsi facevano da esca per attirare i ricercatori di Google e scaricare software malevolo sui loro computer.
SecuriElite è apparentemente un'azienda di cybersecurity con sede in Turchia in cui lavora più di una dozzina di ricercatori, tutti immancabilmente presenti su Twitter e LinkedIn con profili ben documentati. Offre servizi di pentest, valutazioni di sicurezza del software e simili. Peccato che sia l'azienda sia i dipendenti siano un fake. Sono un'esca per trarre in inganno i ricercatori (veri) di sicurezza.
Parrebbe l'ultima trovata di ingegneria sociale che potrebbe essere legata alla campagna del governo nord coreano per colpire il settore della security in occidente. A scoprire l'inganno è stato il Threat Analysis Group di Google: l'articolata sceneggiatura era stata creata per spingere i ricercatori a visitare il sito malevolo della fantomatica SecuriElite, su cui un exploit del browser attendeva solo di essere attivato.
Per chi non ricordasse, da gennaio si parlò di una possibile campagna di un gruppo APT nord coreano rivolta contro i ricercatori di sicurezza di Google. Tutto era iniziato con richieste di collaborazione e false offerte di lavoro, pubblicate su popolari social media come Twitter, LinkedIn, Telegram, Discord e Keybase. L'obiettivo era conquistare la fiducia delle potenziali vittime e distribuire sui loro computer una backdoor sotto forma di Progetto Visual Studio infarcito di trojan.
Il tentativo era stato smascherato piuttosto facilmente da TAG e l'allarme era rientrato. Tuttavia il settore era rimasto in allerta. I ricercatori reputano che dietro a SecuriElite ci siano gli stessi criminali nord coreani che hanno orchestrato il precedente attacco. Il collegamento è costituito dalla presenza dello stesso link alla chiave pubblica PGP che era presente negli attacchi di gennaio.
Dietro segnalazione di Google tutti i profili social sono stati chiusi. Non resta che restare all'erta in vista della prossima mossa. Il gruppo non ha ancora un nome, quello che pare certo è che l'attività nord coreana è particolarmente fervente. Alla stessa matrice sono imputate false offerte di lavoro recapitate a dipendenti nel Ministero della Difesa Israeliano, oltre che tentativi di attacchi ad aziende aerospaziali mediante documenti infetti spediti agli impiegati.
Parrebbe l'ultima trovata di ingegneria sociale che potrebbe essere legata alla campagna del governo nord coreano per colpire il settore della security in occidente. A scoprire l'inganno è stato il Threat Analysis Group di Google: l'articolata sceneggiatura era stata creata per spingere i ricercatori a visitare il sito malevolo della fantomatica SecuriElite, su cui un exploit del browser attendeva solo di essere attivato.
Per chi non ricordasse, da gennaio si parlò di una possibile campagna di un gruppo APT nord coreano rivolta contro i ricercatori di sicurezza di Google. Tutto era iniziato con richieste di collaborazione e false offerte di lavoro, pubblicate su popolari social media come Twitter, LinkedIn, Telegram, Discord e Keybase. L'obiettivo era conquistare la fiducia delle potenziali vittime e distribuire sui loro computer una backdoor sotto forma di Progetto Visual Studio infarcito di trojan. Il tentativo era stato smascherato piuttosto facilmente da TAG e l'allarme era rientrato. Tuttavia il settore era rimasto in allerta. I ricercatori reputano che dietro a SecuriElite ci siano gli stessi criminali nord coreani che hanno orchestrato il precedente attacco. Il collegamento è costituito dalla presenza dello stesso link alla chiave pubblica PGP che era presente negli attacchi di gennaio.
Dietro segnalazione di Google tutti i profili social sono stati chiusi. Non resta che restare all'erta in vista della prossima mossa. Il gruppo non ha ancora un nome, quello che pare certo è che l'attività nord coreana è particolarmente fervente. Alla stessa matrice sono imputate false offerte di lavoro recapitate a dipendenti nel Ministero della Difesa Israeliano, oltre che tentativi di attacchi ad aziende aerospaziali mediante documenti infetti spediti agli impiegati. 
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Apr 17
WÜRTH PHOENIX ROADSHOW NIS2 - Bologna
Apr 18
WÜRTH PHOENIX ROADSHOW NIS2 - Brescia
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 16
Road to NIS2 - Roma
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
