L’industria dei trasporti e le agenzie governative legate al settore sono vittime di una campagna in corso da oltre un anno. Sembra che l’attore malevolo sia un sofisticato e ben attrezzato gruppo di spionaggio informatico (chiamato Earth Centaur o Tropic Trooper) che, dopo aver compromesso le macchine delle loro vittime, ha cercato di accedere ad alcuni documenti interni (come gli orari dei voli e i piani finanziari) e alle informazioni personali del personale e dei passeggeri.
I settori maggiormente colpiti da questi cyber criminali sono i governi, le strutture di assistenza sanitaria, i trasporti e le industrie high-tech.
Dopo aver compromesso con successo il sistema, Tropic Trooper tenta anche di violare l’intranet, scaricare le credenziali e cancellare i registri degli eventi dalle macchine infette; il tutto utilizzando un set specifico di strumenti. Viene anche utilizzato un programma da riga di comando chiamato Rclone che consente agli attaccanti di copiare i dati raccolti su diversi provider di archiviazione cloud. Attenzione a questa tipologia di connessioni!
La tecnica di attacco utilizzata non è particolarmente innovativa: sono noti per il loro uso di e-mail di spear-phishing con allegati armati per sfruttare vulnerabilità note. È invece sofisticato ed efficace il metodo: il gruppo sa come aggirare le impostazioni di sicurezza delle vittime e utilizza un framework open source per sviluppare nuove varianti difficilmente rilevabili.
Interessante anche lo sviluppo di un trojan USB, soprannominato USBFerry, per colpire reti fisicamente isolate appartenenti a istituzioni governative, entità militari e il settore dei trasporti. Attenzione pertanto a quello che viene eseguito da chiavette o dispositivi USB!
In sostanza, il gruppo di cyber criminali rimane silente e nascosto nella rete, mappando l’infrastruttura del proprio obiettivo, bypassando i firewall, eludendo il monitoraggio di sicurezza esistente e sfruttando web application vulnerabili. Raccomandiamo di attivare in fretta un servizio XDR di protezione da questa tipologia di attacchi!