Un gruppo di hacker sta prendendo di mira la gente e le organizzazioni palestinesi con un'ondata di malware vecchio di anni, secondo una ricerca pubblicata mercoledì.

I risultati, dalla divisione di threat intelligence Talos di Cisco, spacchettano un'ondata di attacchi a partire da circa ottobre 2021 contro i palestinesi utilizzando un malware noto come Micropsia.

Gli attacchi fanno parte di una campagna più ampia che risale al 2017 collegata a un gruppo noto come Arid Viper, un gruppo di hacker arabo possibilmente associato a Hamas che è emerso nel 2015. Conosciuto anche come Desert Falcons o APT-C-23, - "APT" sta per "advanced persistent threat", un tipo di gruppo spesso associato agli hacker degli stati nazionali - i ricercatori Kaspersky nel 2015 lo hanno chiamato "il primo gruppo APT esclusivamente arabo". Kaspersky ha stimato all'epoca che contava circa 30 attaccanti che impiegavano malware fatti in casa, ingegneria sociale e altre tecniche contro obiettivi in tutto il mondo.

La motivazione principale del gruppo è lo spionaggio e il furto di informazioni, ha notato Talos nella sua ricerca, ed "è stato attribuito a operatori maligni politicamente motivati verso la liberazione della Palestina". Anche se non è un "attore tecnicamente evoluto", il gruppo è noto per prendere di mira entrambe le piattaforme mobili e desktop, tra cui Apple iOS. Sviluppa anche malware per Android.

La ricerca Talos non identifica specificamente gli obiettivi della campagna. La società di cybersicurezza Cybereason ha osservato nel 2020 che ciò che potrebbe parzialmente spiegare l'attività informatica legata ad Hamas su obiettivi palestinesi è la storica rivalità tra Hamas e la rivale Fatah, i cui membri sono stati presi di mira da Arid Viper, secondo i ricercatori.

Talos ha coperto una precedente campagna legata al gruppo nel 2017 che ha preso di mira le forze dell'ordine palestinesi e altre agenzie del settore pubblico palestinese utilizzando lo stesso malware Micropsia. Il malware si basa su un payload scritto nel linguaggio di codifica Delphi che contiene più trojan di accesso remoto e capacità di raccolta delle informazioni.

La nuova campagna utilizza le stesse tattiche, tecniche e procedure osservate dai ricercatori nel 2017, tipicamente associate alle esche a tema politico. Il numero di esche si è ridotto nel 2018 e 2019, ma i ricercatori hanno osservato un "deciso aumento" nel 2020 e 2021.

L'attuale ondata di attacchi continua il tema dell'utilizzo di temi a sfondo politico per attirare le vittime nell'apertura di file dannosi, come i rapporti annuali politicamente rilevanti, un articolo sulla riunificazione delle famiglie palestinesi e il rapporto di un paziente del Ministero della Salute dello Stato della Palestina.

Il malware dettagliato nell'ultima ricerca stabilisce un punto d'appoggio persistente nel sistema dell'obiettivo, distribuisce i trojan di accesso remoto e permette altre azioni, come la cattura di screenshot dei computer di destinazione.

Meta, la società madre di Facebook, ha preso provvedimenti contro il gruppo nel mese di aprile 2021 per la creazione e l'utilizzo di account falsi in campagne mirate di spionaggio informatico contro i funzionari del governo palestinese, membri del partito politico Fatah, gruppi di studenti e forze di sicurezza. Meta ha riferito di aver osservato il gruppo "incorporare un software di sorveglianza iOS personalizzato completamente funzionale, in grado di rubare i dati sensibili degli utenti dagli iPhone senza richiedere che i dispositivi siano jailbroken prima della compromissione".

I risultati di Talos notano che il takedown dettagliato del gruppo da parte di Meta "non lo ha fermato", e che tutte le prove mostrano un gruppo che "ha la motivazione e i mezzi per operare campagne di lunga durata contro gli stessi obiettivi. Questo livello di motivazione li rende particolarmente pericolosi per le organizzazioni che possono entrare nel loro mirino".

I ricercatori hanno scritto: "Arid Viper è un primo esempio di gruppi che non sono molto avanzati tecnologicamente, tuttavia, con motivazioni specifiche, stanno diventando più pericolosi man mano che si evolvono nel tempo e testano i loro strumenti e procedure sui loro obiettivi."

Fonte: cyberscoop