Gruppo APT attacca industrie petrolifere, energetiche e dell'aeronautica

Le vittime si trovano in Russia, Stati Uniti e Giappone e in altre nazioni. ChamelGang si infiltra nelle reti e installa backdoor per il furto di dati.

Business Vulnerabilità

È stato soprannominato ChamelGang il nuovo gruppo APT responsabile di una serie di attacchi mirati contro aziende di produzione di carburante, energia e dell'industria aeronautica di Russia, Stati Uniti, India, Nepal, Taiwan e Giappone. Il gruppo, sconosciuto in precedenza, ha l'obiettivo di rubare dati dalle reti compromesse.

L'identificazione è opera dei ricercatori di Positive Technologies, che hanno collezionato interessanti informazioni. La prima è la capacità camaleontica degli attaccanti, che mascherano il proprio malware e l'infrastruttura di rete dietro a servizi legittimi di Microsoft, TrendMicro, McAfee, IBM e Google.

I primi attacchi risalgono a marzo 2021. In un caso esaminato dai ricercatori, gli attaccanti hanno messo in scena un attacco alla supply chain. Dopo avere compromesso i sistemi di una filiale, hanno avuto accesso all'infrastruttura dell'azienda target.


I ricercatori non hanno diffuso il nome della vittima, ma hanno fatto notare che gli attaccanti hanno sfruttando una falla in Red Hat JBoss Enterprise Application (CVE-2017-12149, chiusa da diverso tempo) per eseguire da remoto comandi sugli host infetti e distribuire payload dannosi. Questi ultimi hanno consentito all'APT di lanciare il malware con privilegi elevati, muoversi lateralmente attraverso la rete e alla fine sganciare una backdoor soprannominata DoorMe.

In un successivo attacco ad agosto sono state sfruttate delle vulnerabilitàdei server Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207). Questa volta la vittima era un'azienda russa nel settore della produzione aeronautica. L'attacco è stato ricondotto allo stesso APT per l'installazione di una versione modificata dell'impianto DoorMe, che mostrava funzionalità estese e la capacità di eseguire comandi arbitrari e operazioni sui file.

I ricercatori fanno notare che il settore della produzione di energia, carburante e aereonautica è fra quelli maggiormente bersagliati dagli attacchi informatici. Il gruppo APT in questione non ha aggiunto un elemento differenziante nelle vittime, e i suoi obiettivi non sono nuovi. Come fanno notare i ricercatori, l'84% degli attacchi dello scorso anno a questo settore erano mirati al furto di dati.

Quello che preoccupa è semmai la capacità degli attaccanti di operare indisturbati, che è preoccupante per via delle gravi conseguenze a cui si può andare incontro. Un sabotaggio di una infrastruttura critica di questo tipo può provocare disagi e gravi danni alle popolazioni.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Set 14
ACRONIS - Imposta correttamente la tua strategia di Disaster Recovery
Ott 20
SAP NOW 2022

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter