Il gruppo di hacker di uno stato nazionale usa tecniche di mining per nascondersi

Secondo il team di Microsoft 365 Defender Threat Intelligence, BISMUTH, un attore di minacce di stato-nazione, sta sfruttando le tecniche di mining di criptovalute per mascherare i suoi attacchi. Il team ha svelato questa notizia attraverso un rapporto il 30 novembre, osservando che il gruppo di hacker sta ora rilasciando malware di crypto-mining insieme ai suoi normali toolkit di cyber-spionaggio.

Secondo il rapporto, BISMUTH ha eseguito sofisticati attacchi di cyber-spionaggio dal 2012, sfruttando strumenti personalizzati e open-source. Secondo quanto riferito, il gruppo ha preso di mira grandi multinazionali, servizi finanziari governativi, istituzioni educative e organizzazioni per i diritti umani e civili. Tuttavia, gli attacchi più recenti di BISMUTH hanno assunto una nuova forma, secondo il team di intelligence sulle minacce di Microsoft. Ad esempio, il team ha evidenziato gli attacchi del gruppo da luglio ad agosto 2020, osservando che il gruppo ha lanciato miner monero (XMR), prendendo di mira sia istituzioni private che governative in Francia e Vietnam.

Spiegando come BISMUTH è riuscito a portare a termine questi attacchi, il team di Microsoft 365 Defender Threat Intelligence ha affermato:

In quanto tale, il gruppo ha approfittato degli avvisi a bassa priorità dei minatori di criptovalute per cercare di stabilirne la persistenza mentre volava sotto il radar.

Unirsi per creare fiducia con gli obiettivi

Secondo il team Microsoft 365 Defender Threat Intelligence, l'obiettivo operativo di BISMUTH di stabilire un monitoraggio continuo ed estrarre dati utili quando emergono è rimasto invariato. Tuttavia, l'uso di miner XMR ha aperto un gateway per altri aggressori per monetizzare le reti compromesse. Il team ha ammesso che l'uso di miner crypto era inaspettato. Tuttavia, il team si è affrettato ad aggiungere che la mossa era coerente con il metodo di fusione del gruppo.

Il team di intelligence sulle minacce è andato a notare che,

Secondo il rapporto, l'uso di minatori crittografici ha consentito a BISMUTH di nascondere attività più dannose dietro minacce che molti sistemi hanno spacciato per malware di base. La pubblicazione ha continuato a consigliare che quando si ha a che fare con trojan bancari per merci che introducono ransomware gestito da esseri umani, gli operatori di rete dovrebbero trattare le infezioni da malware con urgenza in quanto possono indicare l'inizio di attacchi più sofisticati.

Mezzi efficaci per frenare tali attacchi

Delineando alcuni dei modi in cui le organizzazioni possono rafforzare la resilienza contro tali attacchi, il rapporto osserva che le reti dovrebbero educare i propri utenti finali a proteggere le proprie informazioni personali e aziendali sui social media. Il report consiglia inoltre agli utenti di configurare le impostazioni di filtro della posta elettronica di Office 365, attivare le regole di riduzione della superficie, disabilitare le macro o consentire solo le macro da posizioni note e controllare il firewall perimetrale e le impostazioni del proxy per impedire ai server di effettuare connessioni arbitrarie a Internet.

Inoltre, la pubblicazione suggerisce che gli utenti dovrebbero applicare password di amministratore forti e casuali, utilizzare l'autenticazione a più fattori ed evitare l'utilizzo di account di servizio a livello di amministratore a livello di dominio.