04:37 15 Aprile 2021
Mondo
URL abbreviato
323
Seguici su

Secondo il rapporto della compagnia Proofpoint i cybercriminali potrebbero essere legati alla Guardia rivoluzionaria islamica dell'Iran.

Il gruppo di hacker TA453, noto anche come "Charming Kitten" e "Phosphorus", ha preso di mira 25 "professionisti senior" specializzati in ricerca genetica, neurologica e oncologica con sede in Israele e negli Stati Uniti nel 2020.

Ad affermarlo è un rapporto della società di sicurezza informatica Proofpoint, precisando di non essere stata in grado di dire cosa gli hacker intendessero fare con i dati ottenuti nel corso della campagna informatica denominata BadBlood.

In ogni caso, è stato possibile rilevare che gli hacker hanno utilizzato le credenziali raccolte in attacchi precedenti per estrapolare le e-mail e utilizzare account compromessi in nuove operazioni informatiche.

Presunti legami con l'Iran

Proofpoint ha citato rapporti esterni che collegavano "Phosphorus" al governo iraniano e al suo Corpo delle Guardie rivoluzionarie islamiche (IRGC), ma ha sottolineato che un'attribuzione univoca di TA453 al corpo d'elite iraniano non sarebbe stato possibile.

La società di sicurezza informatica ha anche osservato che le tecniche utilizzate per prendere di mira i ricercatori medici americani e israeliani nell'attacco del 2020 erano coerenti con le tattiche precedenti utilizzate da "Phosphorus", ma il gruppo non aveva mai condotto operazioni contro tali individui.

La società di sicurezza informatica ha affermato che TA453 aveva storicamente preso di mira "dissidenti [iraniani, ndr], accademici, diplomatici e giornalisti", ma ha suggerito che la campagna BadBlood avrebbe potuto essere "un requisito specifico per la raccolta di informazioni a breve termine".

Proofpoint ha quindi concluso che una campagna informatica mirata a individui israeliani sarebbe anche "coerente" con le tensioni geopolitiche tra Israele e Iran, che si sono intensificate nel corso del 2020.

Il modus operandi

Durante la campagna di hacking BadBlood, "Phosphorus" ha utilizzato un attacco di phishing per rubare le credenziali degli account Microsoft dei suddetti professionisti medici, con gli hacker hanno inviato e-mail alle loro vittime da un account mascherato da eminente fisico israeliano e contenente un invito a leggere un rapporto sull'argomento "Armi nucleari in sintesi: Israele".

Proofpoint ha affermato che l'e-mail conteneva un collegamento che portava a una pagina falsa del servizio cloud Microsoft OneDrive, che richiedeva all'utente di inserire le proprie credenziali, rendendo così possibile per gli hacker di appropriarsene all'insaputa degli utenti.

E' stato inoltre rilevato che la falsa pagina di OneDrive non era dotata di un mezzo per aggirare l'autenticazione in due passaggi.
Un hacker al lavoro
© Depositphotos / Stokkete
Un hacker al lavoro

I precedenti di Phosphorus

Questa non è la prima volta che Microsoft sarebbe stata presa di mira da "Phosphorus". Il gigante della tecnologia statunitense aveva affermato in precedenza che questi hacker avevano tentato di appropriarsi degli account Microsoft di 100 partecipanti alla Conferenza sulla sicurezza di Monaco nel 2020 e di un numero imprecisato di membri dello staff di una campagna presidenziale nel 2019.

La società non ha potuto precisare quale campagna sia stata concretamente influenzata, ma un reportage dell'epoca della Reuters ha suggerito che avrebbe potuto essere la campagna di rielezione dell'allora presidente Donald Trump.

RegolamentoDiscussione
Commenta via SputnikCommenta via Facebook