Categorie
Sicurezza Informatica

APT Iraniano Tortoiseshell punta l’industria logistica israeliana

Tempo di lettura: 2 minuti. Un attacco coordinato ha colpito diversi siti web israeliani nel settore della spedizione, della logistica e dei servizi finanziari. Gli attacchi sono stati attribuiti agli hacker iraniani noti come Tortoiseshell.

Tempo di lettura: 2 minuti.

Recentemente, almeno otto siti web associati alle compagnie di spedizione, logistica e servizi finanziari in Israele sono stati presi di mira da un attacco di tipo “watering hole”. Secondo la società di cybersecurity di Tel Aviv, ClearSky, gli attacchi possono essere attribuiti con una bassa confidenza a un attore di minaccia iraniano tracciato come Tortoiseshell, noto anche come Crimson Sandstorm (precedentemente Curium), Imperial Kitten, e TA456.

Metodologia degli attacchi

“I siti infetti raccolgono informazioni preliminari sull’utente attraverso uno script”, ha riferito ClearSky in un rapporto tecnico pubblicato martedì. La maggior parte dei siti web colpiti sono stati ripuliti dal codice malevolo. Tortoiseshell è attivo almeno dal luglio 2018, con i primi attacchi rivolti ai fornitori di IT in Arabia Saudita. È stato anche osservato nella creazione di falsi siti web di reclutamento per i veterani militari statunitensi, nel tentativo di indurli a scaricare trojan di accesso remoto.

Gli attacchi “watering hole” e le tecniche utilizzate

Attacco Watering Hole, quando è la vittima stessa ad avvicinarsi alla trappola

Questo non è la prima volta che gruppi di attività iraniani puntano al settore della spedizione israeliano con attacchi “watering hole”. Il metodo di attacco, conosciuto anche come compromissione strategica del sito web, funziona infettando un sito web noto per essere comunemente visitato da un gruppo di utenti o da quelli all’interno di un’industria specifica per consentire la distribuzione di malware.

Nuovi strumenti e strategie adottate

Gli ultimi attacchi documentati da ClearSky mostrano che il JavaScript malevolo iniettato nei siti web funziona in modo simile, raccogliendo informazioni sul sistema e inviandole a un server remoto. Inoltre, gli attacchi fanno uso di un dominio chiamato jquery-stack[.]online per il comando e il controllo (C2). L’obiettivo è quello di volare sotto il radar, imitando il legittimo framework JavaScript jQuery.

Implicazioni geopolitiche

Questa ondata di attacchi coincide con il fatto che Israele continua ad essere il bersaglio più prominente per le squadre sponsorizzate dallo stato iraniano. Microsoft, all’inizio di questo mese, ha sottolineato il loro nuovo approccio di combinare “operazioni cibernetiche offensive con operazioni d’influenza multi-pronged per alimentare il cambiamento geopolitico in linea con gli obiettivi del regime.”

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version