Logo ImpresaCity.it

Dark Caracal, la rete di spionaggio in affitto

La EFF ha identificato una APT che organizza operazioni di spionaggio puntando in particolare sulla sottrazione di dati dai device Android

Redazione Impresacity

La Electronic Frontier Foundation e Lookout hanno identificato le attività di Dark Caracal, una Advanced Persistent Threat che organizza e mette in atto operazioni molto articolate di esfiltrazione di dati da dispositivi mobili e personal computer. Secondo la EFF si tratta di uno dei primi casi documentati di APT focalizzate sul mondo mobile e in grado di lanciare operazioni di attacco a livello globale.

La EFF e Lookout hanno ipotizzato l'esistenza di Dark Caracal quando hanno rilevato attacchi in rete simili a quelli organizzati nel 2016 per colpire gli oppositori del presidente kazako Nazarbayev. Le metodologie di attacco usate allora si sono replicate in seguito e soprattutto la rete di comando e controllo dietro i nuovi attacchi rimandava a quella del 2016. Questo ha portato a concludere che esiste da tempo un gruppo stabile e organizzato che mette in atto attacchi mirati, proponendosi al miglior offerente.

Si suppone che Dark Caracal operi sin dal 2012 e nel tempo abbia distribuito qualcosa come 11 versioni di malware per Android e 26 per PC (Windows, Mac e Linux), colpendo bersagli in una ventina di nazioni tra cui anche l'Italia. I bersagli sono di vario tipo, a seconda dei casi: militari, aziende, giornalisti, attivisti e professionisti in vari campi. Le tecniche di attacco usate hanno permesso di rubare documenti, contatti personali, chat, registrazioni audio, SMS, fotografie e dati di identificazione.

dark caracal

La metodologia di attacco contro i device mobili Android è sempre la stessa e si basa sul portare i bersagli a scaricare software apparentemente lecito ma che in realtà contiene un trojan che poi invia i dati presenti sul dispositivo a server remoti. Dark Caracal usa a questo scopo malware acquistato sul Dark Web ma ha anche sviluppato un suo proprio trojan, denominato Pallas. Google è stata avvisata di questa minaccia e ha provveduto a "bonificare" il Google Play Store. Il problema è che gli attacchi cercano anche di portare gli utenti a scaricare app da siti non controllati.

Dark Caracal ha attaccato anche i PC, sia pure con forme di attacco meno originali. Gli utenti-bersaglio sono portati a scaricare malware con tecniche di phishing, indirizzandoli su siti che replicano l'interfaccia e le funzioni di siti leciti, anche i più comuni social network. Paralellamente i malware vengono distribuiti anche attraverso documenti Word infetti, che una volta aperti lanciano macro per scaricare i malware veri e propri.
Pubblicato il: 19/01/2018

Speciali

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce

speciali

Phishing, Ransomware e Truffe E-Mail: è allarme per Office 365 e il cloud