SecurityOpenLab

Malware con codice NSA usato da un gruppo cinese?

I ricercatori di Eset hanno pubblicato una ricerca invitando altri esperti di cyber sicurezza a contribuire. Il mistero da chiarire è un codice dell'NSA in uso a un gruppo criminale cinese.

Un complicato intrico internazionale si cela dietro a un campione di malware con una parte di codice dell'NSA, in uso a un gruppo criminale sponsorizzato dalla Cina. Secondo una nuova ricerca di ESET, uno strumento per l'offuscamento del codice sarebbe stato usato da Winnti Group, il gruppo di cyber criminali che si sospetta abbia legami con il governo cinese.

È attivo dal 2012 ed è sospettato di intrusioni ai danni dell'industria software, nonché la compromissione di vari obiettivi nei settori della sanità e dell'istruzione. Ha anche la paternità di due attacchi contro le università di Hong Kong nel periodo delle proteste civili.

Quello che risulta strano è che lo strumento di offuscamento di cui sopra sarebbe stato utilizzato insieme a un impianto che in precedenza era stato attribuito a Equation Group, un gruppo che si pensa abbia legami con la National Security Agency statunitense.
hackerNon è chiaro se il campione sia stato utilizzato in una campagna malevola o se sia un esperimento di un ricercatore per la sicurezza. Quello che è noto è che il packer è stato utilizzato da Winnti in una serie di intrusioni documentate. ESET ha pubblicato i risultati della ricerca auspicando che altri ricercatori con maggiore visibilità sulle origini del campione possano chiarire l'enigma.

Le ipotesi per identificare chi c'è dietro al campione abbondano. È possibile che Winnti abbia usato l'impianto dell'NSA per le sue operazioni. Secondo il ricercatore di Eset Marc-Étienne Léveillé, quest'ultima potrebbe essere un'opzione probabile.

L'anello di congiunzione fra i due attori sarebbe Shadow Brokers, un gruppo di hacking misterioso di cui aveva dato notizia Kaspersky a fine 2019. Era salito alla ribalta delle cronache perché aveva divulgato pubblicamente alcuni strumenti di hacking dell'NSA. Non è chiaro se gli strumenti in questione fossero stati rubati all'NSA o recuperati sul web seguendo le azioni dell'agenzia. Fra questi, uno script potrebbe essere quello usato da Winnti Group.

Secondo quanto dichiarato da Léveillé alla stampa statunitense, è possibile che il Gruppo Winnti abbia semplicemente riciclato gli strumenti divulgati da Shadow Brokers. Ipotesi meno probabile è invece che Equation Group abbia riciclato il packer del Gruppo Winnti.
cinaIl dilemma non è di facile soluzione perché attribuire la paternità di attacchi condotti usando strumenti "di riciclo" è sempre molto complesso. È non è da escludere che il loro impiego sia in realtà un diversivo per confondere i ricercatori sulla sicurezza.

Léveillé reputa che questo sia l'esempio perfetto per far comprendere la difficoltà di esaminare campioni di malware fuori contesto. Il tentativo dev'essere fatto, perché risalire alla fonte del codice è un passaggio importante per identificare qualsiasi minaccia lo usi e i rapporti fra i gruppi criminali. Non resta che attendere ulteriori sviluppi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 08/05/2020

Tag: malware


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore