Passa al contenuto principale

Kaspersky Lab ha registrato un raro e inaspettato esempio di scontro tra cybercriminali. Nel 2014, Hellsing, un gruppo di cyberspionaggio piccolo e tecnicamente irrilevante che mira principalmente a governi e organizzazioni diplomatiche situate in Asia, è stato colpito da un attacco di spear-phishing condotto da un altro gruppo criminale e ha deciso di contrattaccare. Secondo Kaspersky Lab questo ha segnato l’inizio di una nuova tendenza nelle attività dei cybercriminali: le guerre APT.

La scoperta è stata fatta dagli esperti di Kaspersky Lab mentre indagavano sulle attività di Naikon, un gruppo di spionaggio informatico che mira alle organizzazioni dell’area Asia-Pacifico. Gli esperti hanno constatato che uno degli obiettivi di Naikon aveva scoperto il tentativo di infettare il sistema attraverso email di spear-phishing con allegati nocivi.

La vittima si era rivolta al mittente per contestare l’autenticità della mail e non soddisfatto dalla risposta, aveva deciso di non aprire l’allegato. Poco tempo dopo la vittima aveva inoltrato al mittente una mail contenente lo stesso malware, azione che ha innescato l’indagine di Kaspersky Lab e portato alla scoperta del gruppo APT Hellsing.

Il metodo utilizzato per il contrattacco indica il desiderio di Hellsing di identificare il gruppo Naikon e di raccogliere informazioni su di esso. Un’analisi approfondita del gruppo criminale Hellsing condotta da Kaspersky Lab ha svelato tracce di email di spear-phishing con allegati nocivi progettate per diffondere un malware di spionaggio tra numerose organizzazioni. Quando una vittima apre l’allegato dannoso, il suo sistema viene infettato con una backdoor personalizzata in grado di scaricare e caricare file, aggiornarsi e disinstallarsi. Secondo le indagini di Kaspersky Lab, sono circa 20 le organizzazioni colpite da Hellsing.

Gli obiettivi di Hellsing

L’azienda ha rilevato e bloccato il malware Hellsing in Malesia, Filippine, India, Indonesia e Stati Uniti, anche se il maggior numero di vittime individuate sono situate in Malesia e Filippine. I criminali si sono dimostrati molto selettivi sulla scelta delle organizzazioni da prendere di mira, infatti, gli obiettivi principali sono stati governi ed entità diplomatiche.

“Per noi è stato davvero incredibile scoprire che Hellsing aveva preso di mira Naikon, in una sorta di vendetta in stile “Empire Strikes Back”. In passato avevamo visto gruppi APT colpirsi accidentalmente a vicenda dopo aver rubato i contatti dalle rubriche delle proprie vittime e dopo aver inviato email di massa a chiunque fosse incluso in quelle liste. Tuttavia, considerando la natura mirata e l’origine dell’attacco è più probabile che si tratti di un esempio di attacco intenzionale di APT-vs-APT” ha commentato Costin Raiu, Director del Global Research and Analyst Team di Kaspersky Lab.

Secondo l’analisi di Kaspersky Lab, il gruppo criminale Hellsing è attivo almeno dal 2012 ed è tuttora in azione.

Protezione

Per proteggersi dagli attacchi di Hellsing, Kaspersky Lab raccomanda di seguire alcuni consigli:

  • Non aprire allegati sospetti provenienti da persone sconosciute
  • Fare attenzione agli archivi protetti da password che contengono file SCR o altri file eseguibili
  • Se non si è sicuri di un allegato, è meglio aprirlo in un ambiente sandbox
  • Assicurarsi di avere un sistema operativo aggiornato con tutte le patch installate
  • Aggiornare tutte le applicazioni di terze parti come Microsoft Office, Java, Adobe Flash Player e Adobe Reader

I prodotti di Kaspersky Lab sono in grado di rilevare e bloccare con successo i malware usati dai gruppi Hellsing e Naikon.

E’ possibile leggere ulteriori informazioni sul gruppo criminale Hellsing e sulla campagna di spionaggio “Empire Strikes Back” su Securelist.com.

 

La cronistoria di Hellsing: una spy story in cui una spia si scontra con un’altra

Kaspersky Lab ha registrato un raro e inaspettato esempio di scontro tra cybercriminali. Nel 2014, Hellsing, un gruppo di cyberspionaggio piccolo e tecnicamente irrilevante che mira principalmente a governi e organizzazioni diplomatiche situate in Asia, è stato colpito da un attacco di spear-phishing condotto da un altro gruppo criminale e ha deciso di contrattaccare. Secondo Kaspersky Lab questo ha segnato l’inizio di una nuova tendenza nelle attività dei cybercriminali: le guerre APT.
Kaspersky Logo