Gruppo dietro all'attaco a SolarWinds sta attaccando 150 organizzazioni

Secondo Microsoft lo stesso gruppo responsabile dell'attacco alla supply chain di Solar Winds starebbe orchestrano un attacco di spear phishing contro agenzie governative e non, ONG e altri.

Business Vulnerabilità
Il gruppo criminale dietro all'attacco di Solar Winds sta prendendo di mira agenzie governative, think tank, consulenti e organizzazioni non governative. Né è convinta Microsoft, che in un post sul blog ufficiale scrive di avere rilevato nell'ultima settimana attacchi informatici da parte di Nobelium, che hanno preso di mira circa 3.000 account di posta elettronica in più di 150 organizzazioni diverse.

Il post prosegue spiegando che le organizzazioni statunitensi sono state destinatarie della maggior parte degli attacchi, ma gli attacchi mirati coinvolgono almeno 24 paesi. Almeno un quarto delle organizzazioni target è stato coinvolto in progetti internazionali a scopo umanitario e a salvaguardia dei diritti umano. Tom Burt, autore del post e Corporate Vice President, Customer Security & Trust, spiega inoltre che "il gruppo Nobelium, originario della Russia, è lo stesso attore dietro gli attacchi del 2020 ai clienti di SolarWinds. Questi attacchi sembrano essere la continuazione dei molteplici sforzi da parte del Nobelium per prendere di mira le agenzie governative coinvolte in politica estera, con l'obiettivo di rubare informazioni".

La campagna in corso sfrutta un account email compromesso utilizzato dalla United States Agency For International Development (USAID) per spedire email di phishing mirato contro le organizzazioni target. Gli obiettivi e i destinatari delle email potrebbero essere stati scelti sfruttando le informazioni di cui gli attaccanti sono entrati in possesso nell'ambito dell'attacco a Solar Winds.
hacker 1 (1)Detta email è particolarmente insidiosa perché sembra autentica e proviene da un account reale. Tuttavia include un link che, quando cliccato, scarica sul computer della vittima una backdoor che è stata identificata con il nome NativeZone. Si tratta di uno strumento che potrebbe consentire una vasta gamma di attività, dal furto di dati all'infezione di altri computer su una rete.

Microsoft sta notificando il rischio a tutti i suoi clienti, sebbene non ci sia "alcun motivo di credere" che questi attacchi comportino un qualsiasi sfruttamento o vulnerabilità nei prodotti o servizi Microsoft. L'azienda di Redmond sottolinea peraltro che molti degli attacchi sono stati bloccati automaticamente e Windows Defender, che ha intercettato il malware usato dai cyber criminali.

La Russia continua a negare ogni coinvolgimento. Nel mese di maggio, il capo dell'intelligence russa ha ribadito l'estraneità della Foreign Intelligence Service (SVR) all'attacco informatico contro Solar Winds, ma si è detto "lusingato" dalle accuse di Stati Uniti e Regno Unito, secondo cui l'intelligence russa sarebbe dietro un hack così sofisticato.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori