Il gruppo di hacker di uno stato nazionale usa tecniche di mining per nascondersi

Scritto da: Jinia Shawdagor
Dicembre 2, 2020
  • BISMUTH è operativo dal 2012, ma ha iniziato a utilizzare i miner XMR solo di recente.
  • Secondo il team di intelligence sulle minacce di Microsoft, i miner crypto non sono considerati minacce gravi.
  • Educare gli utenti finali alla protezione dei dati personali è uno dei modi per frenare tali attacchi.

Secondo il team di Microsoft 365 Defender Threat Intelligence, BISMUTH, un attore di minacce di stato-nazione, sta sfruttando le tecniche di mining di criptovalute per mascherare i suoi attacchi. Il team ha svelato questa notizia attraverso un rapporto il 30 novembre, osservando che il gruppo di hacker sta ora rilasciando malware di crypto-mining insieme ai suoi normali toolkit di cyber-spionaggio.

Secondo il rapporto, BISMUTH ha eseguito sofisticati attacchi di cyber-spionaggio dal 2012, sfruttando strumenti personalizzati e open-source. Secondo quanto riferito, il gruppo ha preso di mira grandi multinazionali, servizi finanziari governativi, istituzioni educative e organizzazioni per i diritti umani e civili. Tuttavia, gli attacchi più recenti di BISMUTH hanno assunto una nuova forma, secondo il team di intelligence sulle minacce di Microsoft. Ad esempio, il team ha evidenziato gli attacchi del gruppo da luglio ad agosto 2020, osservando che il gruppo ha lanciato miner monero (XMR), prendendo di mira sia istituzioni private che governative in Francia e Vietnam.

Sei alla ricerca di notizie tempestive, suggerimenti e analisi di mercato? Iscriviti oggi stesso alla newsletter di Invezz.

Spiegando come BISMUTH è riuscito a portare a termine questi attacchi, il team di Microsoft 365 Defender Threat Intelligence ha affermato:

“I miner di criptovalute sono tipicamente associati alle operazioni dei criminali informatici, non alle sofisticate attività degli attori dello stato nazione. Non sono il tipo più sofisticato di minacce, il che significa anche che non sono tra i problemi di sicurezza più critici che i difensori affrontano con urgenza”.

In quanto tale, il gruppo ha approfittato degli avvisi a bassa priorità dei minatori di criptovalute per cercare di stabilirne la persistenza mentre volava sotto il radar.

Unirsi per creare fiducia con gli obiettivi

Secondo il team Microsoft 365 Defender Threat Intelligence, l’obiettivo operativo di BISMUTH di stabilire un monitoraggio continuo ed estrarre dati utili quando emergono è rimasto invariato. Tuttavia, l’uso di miner XMR ha aperto un gateway per altri aggressori per monetizzare le reti compromesse. Il team ha ammesso che l’uso di miner crypto era inaspettato. Tuttavia, il team si è affrettato ad aggiungere che la mossa era coerente con il metodo di fusione del gruppo.

Il team di intelligence sulle minacce è andato a notare che,

“Questo modello di fusione è particolarmente evidente in questi recenti attacchi, a partire dalla fase di accesso iniziale: e-mail di spear-phishing create appositamente per un destinatario specifico per organizzazione di destinazione e che mostravano segni di ricognizione precedente. In alcuni casi, il gruppo ha persino corrisposto agli obiettivi, creando ancora più credibilità per convincere gli obiettivi ad aprire l’allegato dannoso e avviare la catena dell’infezione”.

Secondo il rapporto, l’uso di minatori crittografici ha consentito a BISMUTH di nascondere attività più dannose dietro minacce che molti sistemi hanno spacciato per malware di base. La pubblicazione ha continuato a consigliare che quando si ha a che fare con trojan bancari per merci che introducono ransomware gestito da esseri umani, gli operatori di rete dovrebbero trattare le infezioni da malware con urgenza in quanto possono indicare l’inizio di attacchi più sofisticati.

Un consiglio: cerchi un'app per investire oculatamente? Fai trading in tutta sicurezza iscrivendoti alla nostra preferita, eToro: visita e crea un account

Mezzi efficaci per frenare tali attacchi

Delineando alcuni dei modi in cui le organizzazioni possono rafforzare la resilienza contro tali attacchi, il rapporto osserva che le reti dovrebbero educare i propri utenti finali a proteggere le proprie informazioni personali e aziendali sui social media. Il report consiglia inoltre agli utenti di configurare le impostazioni di filtro della posta elettronica di Office 365, attivare le regole di riduzione della superficie, disabilitare le macro o consentire solo le macro da posizioni note e controllare il firewall perimetrale e le impostazioni del proxy per impedire ai server di effettuare connessioni arbitrarie a Internet.

Inoltre, la pubblicazione suggerisce che gli utenti dovrebbero applicare password di amministratore forti e casuali, utilizzare l’autenticazione a più fattori ed evitare l’utilizzo di account di servizio a livello di amministratore a livello di dominio.