28 mila pagine web per portare a termine attacchi hacker di “spear phishing” su commissione.
Migliaia di persone sarebbero rimaste vittime di questo tipo di attacchi da parte di un gruppo di cyber criminali specializzato nell’operare su commissione, che avrebbe preso di mira organizzazioni, professionisti, aziende private di tutto il mondo, buona parte delle quali attiva in questioni ambientali.
A diffondere la notizia il Citizen Lab, che in un report del giugno scorso, segnala la scoperta delle migliaia di pagine web progettate appositamente per attacchi personalizzati. Il gruppo hacker Dark Basin avrebbe portato avanti tecniche di cyberspionaggio su ingaggio di clienti a danno di diretti concorrenti o oppositori, con una pluralità di obiettivi.
L’indagine degli esperti di cyber security avrebbe preso il via nel 2017, a seguito della denuncia di una delle vittime dei tentativi di phishing e a permesso di risalire ad un sistema per creare brevi URL personalizzati gestiti da un singolo gruppo, il Dark Basin appunto. Gli URL identificati erano quasi 28 mila. Dagli indirizzi e-mail dei destinatari si è potuto poi risalire ai soggetti e alle organizzazioni coinvolte componendo un quadro che coinvolge sei continenti.
L’analisi degli obiettivi ha portato ad escludere una sponsorizzazione statale, convergendo in un’azione di hackeraggio ben precisa collegata ad una società indiana il cui direttore sarebbe già stato incriminato in passato per operazioni simili. Altri collegamenti emersi e l’intreccio di relazioni tra personaggi di rilievo nella società aprono anche la strada al coinvolgimento del settore delle investigazioni private, statunitense ma non solo, propenso, a quanto pare, ad affidarsi a società di hackeraggio.
Gli obiettivi di Dark Basin spazierebbero dai giornalisti, ai servizi finanziari, alle società farmaceutiche ma in modo particolare sarebbero state prese di mira organizzazioni americane impegnate in questioni di carattere ambientale, con relativa divulgazione di informazioni e materiali riservati. Il tutto attraverso e-mail di phishing che utilizzavano generalmente due tecniche per sottrarre le credenziali: e-mail di notifica di servizi web per ottenere il “clic” oppure e-mail fastidiose ed insistenti come iscrizioni a newsletter o a siti per adulti. Sfruttando la propensione a cliccare su “annulla l’iscrizione”, la vittima veniva portata su un sito di phishing.
Dalle ricerche condotte è emersa una profonda conoscenza da parte degli attaccanti delle loro vittime. Infatti, le e-mail provenivano per lo più da account falsi di conoscenti e amici o da individui con maggiore autorità rispetto alla vittima, così da indurre a fidarsi della comunicazione ricevuta.
Per ottenere le credenziali gli hacker non solo hanno creato tutta una serie di siti falsi, appositamente realizzati per sembrare uguali a quelli di servizi web molto diffusi, come Gmail o Yahoo Mail ma hanno copiato anche siti di servizi specifici utilizzati o gestiti dal target, mostrando una accurata pianificazione e l’accesso ad informazioni non solo open source.
Sorprende però, ancora una volta, che molti obiettivi non si sono nemmeno resi conto di essere rimasti vittime di attacchi phishing, ma lo hanno scoperto solo dopo essere stati contattati dalla società di cyber security che si è occupata delle indagini.
