Una campagna raffinata di attacchi informatici ha messo nel mirino ambasciatori UE, con un’insolita strategia di innesco: inviti a eventi inesistenti.
Gli enti diplomatici europei sotto attacco: questa potrebbe sembrare la trama di un film di spionaggio, ma rappresenta la realtà di una sofisticata campagna di cyber attacchi che ha investito alcune delle missioni diplomatiche europee in India. L’artefice di questa serie di attacchi è un gruppo di cybercriminali fino ad ora non identificato, conosciuto con il nom de guerre di SPIKEDWINE, che si è distinto per l’adozione di una strategia non convenzionale e pericolosamente ingegnosa.
L’aggressione informatica ha come protagonista una nuova backdoor dannosa denominata WINELOADER. I cyber attaccanti hanno dimostrato un notevole accorgimento, inviando ai dipendenti delle missioni diplomatiche dei file PDF che sembravano provenire dall’ambasciata indiana. Il contenuto? Inviti a una fantomatica degustazione di vini, un evento mai previsto, ma sufficientemente credibile per indurre le vittime a compiere l’azione nefasta: aprire il documento.
Uno dei documenti incriminati è emerso in rete il 30 gennaio 2024, originario della Lettonia. Tuttavia, si sospetta che la campagna di aggressioni informatiche abbia preso avvio ben prima, intorno al 6 luglio 2023, segno di una pianificazione meticolosa. I ricercatori di sicurezza Sudeep Singh e Roy Tay, dal laboratorio di Zscaler ThreatLabz, hanno espresso preoccupazioni per la raffinatezza dell’attacco che impiega metodi avanzati tanto nel malware, quanto nell’infrastruttura di comando e controllo.
Il PDF dannoso contiene un link mascherato da questionario, che chiede di fornire dati per partecipare all’evento fittizio. Cliccando su tale collegamento, in realtà, viene scaricata una falsa applicazione HTML denominata “wine.hta”, dotata di codice Javascript intricato e programmato per scaricare un archivio crittografato con all’interno il malware WINELOADER.
Il nucleo di WINELOADER consiste in un modulo che è stato concepito per triplicare la malizia: non solo scarica elementi aggiuntivi del malware dal server di comando e controllo, ma è anche inglobato in librerie condivise di terze parti, incrementando così la difficoltà di rilevamento, minando la sicurezza informatica delle ambasciate. Grazie alla capacità di modulare la frequenza di invio delle richieste, il malware può aspettare pazientemente il momento propizio per condurre l’attacco, evitando la rilevazione.
Una particolarità che colpisce di queste aggressioni telematiche è l’impiego di siti web già compromessi, usati come server di comando e controllo per ospitare il malware. Gli attaccanti hanno mostrato di portare avanti un lavoro minuzioso, accettando richieste di malware solo in specifici intervalli temporali e adottando protocolli non convenzionali, portando la loro operazione su un piano di furtività e complessità raramente osservato.
I ricercatori hanno rimarcato come gli aggressori abbiano messo in atto un meticoloso lavoro per coprire le loro tracce, evitando qualsiasi attività che potesse insospettire i sistemi di analisi o le piattaforme di scanning automatizzato degli URL. In sfida alla cyber security tradizionale, SPIKEDWINE dimostra come gli attacchi informatici di oggi siano sempre più sofisticati e meno rilevabili.
Questo episodio evidenzia come la minaccia di attacchi informatici sia in costante evoluzione, richiedendo così una vigilanza sempre più attenta e sofisticato approcci alla sicurezza da parte di enti e organizzazioni di ogni dimensione e settore.