F-Secure ha scoperto un gruppo di attacco che raccoglie informazioni in tema di sicurezza usando uno spyware sviluppato per le forze dell’ordine
Un nuovo report pubblicato dai Laboratori di F-Secure evidenzia che un gruppo di attacco informatico finora sconosciuto ha condotto operazioni di raccolta di informazioni in materia di politica estera e di sicurezza nell’Europa orientale e nel Caucaso meridionale. Il report descrive il Gruppo Callisto come una realtà altamente motivata e dotata di buone risorse che ha condotto attacchi informatici verso personale militare, ufficiali governativi, giornalisti e gruppi di esperti a partire almeno dal 2015.
Secondo il report, il Gruppo Callisto è responsabile di parecchi attacchi avvenuti nel 2015 e nel 2016. E se il report non identifica vittime specifiche, mette in luce però che l’elemento ricorrente tra le vittime del gruppo è una connessione con la politica estera e di sicurezza che coinvolge l’Europa orientale e il Caucaso meridionale, il che fa presupporre che sia la raccolta di informazioni la motivazione che muove il gruppo.
Nel report si nota che l’infrastruttura del gruppo ha collegamenti con entità in Russia, Ucraina e Cina, ma non offre conclusioni definitive su chi sta dietro questo gruppo. Si evidenzia anche che mentre vi sono prove che suggeriscono che il gruppo abbia legami con uno Stato, i dettagli di questa relazione non sono chiari.
“Agiscono come attaccanti di Stato, ma ci sono prove che li collegano anche a infrastrutture usate dai criminali,” ha dichiarato Sean Sullivan, F-Secure Security Advisor. “Quindi potrebbe trattarsi di un gruppo indipendente che è stato ingaggiato da un governo per fare questo lavoro, o eventualmente potrebbero agire per conto proprio con l’intento di vendere le informazioni a un ente governativo o di intelligence. Ma ci sono diverse spiegazioni, oltre a queste, e non possiamo dire con certezza quale sia quella reale sulla base delle evidenze attuali.”
Oltre a descrivere i bersagli e i motivi del Gruppo Callisto, il report fornisce dettagli sul modello di attacco che il gruppo usa per compromettere le proprie vittime.
Secondo il report, il Gruppo Callisto usa attacchi di phishing estremamente mirati per rubare credenziali di account email, così come email di spear phishing molto personalizzate e convincenti per infettare le loro vittime con del malware. Queste email di spear phishing sono state spesso inviate da account email compromessi da precedenti attacchi di phishing del gruppo.
Il malware rilasciato da queste email di spear phishing è stato progettato per rubare informazioni dalle vittime, e per infettarle con altro malware. Il report sottolinea che questo malware è una variante dell’agent Scout sviluppato dall’azienda italiana di sorveglianza HackingTeam. Scout era parte di un toolset spyware che HackingTeam vendeva alle agenzie governative, rubato ed apparso online nel 2015.
Secondo Erka Koivunen, Chief Information Security Officer di F-Secure, l’uso da parte del Gruppo Callisto dello spyware progettato per le forze dell’ordine è un duro monito sui pericoli delle tecnologie di sorveglianza.
Il report sottolinea che il gruppo resta attivo, e che non si sa come risponderanno sapendo di essere stati scoperti. Fornisce anche indicatori di strategie di compromesso e mitigazione per qualsiasi potenziale target che sia preoccupato dall’attività di Callisto Group o da altre minacce che usano attacchi simili. I prodotti F-Secure, evidenzia la società, attualmente presentano capacità di rilevazione comportamentale, generica e di altro tipo per proteggere gli utenti dalla attività di Callisto Group.