Il malware OfflRouter, risalente a quasi una decade fa infesta ancora oggi le forze di polizia ucraine rivelando documenti potenzialmente confidenziali.
Nell’attuale panorama digitale, la sicurezza informatica è fondamentale. I malfunzionamenti software possono minare la sicurezza dei dati e compromettere la privacy degli utenti, soprattutto quando le minacce informatiche includono malware come OfflRouter, che risale al 2015.
Un caso risalente a quasi un decennio fa in Ucraina ne è l’esempio emblematico. Più di 100 documenti potenzialmente riservati legati alle attività del governo e della polizia ucraina sono stati recentemente caricati su un repository facilmente accessibile a causa dell’odioso malware OfflRouter. Individuati nel corso delle normali operazioni di ricerca delle minacce da ricercatori dell’Intelligence Research Team di Talos di Cisco, sono solo la punta dell’iceberg delle innumerevoli minacce che potrebbero ancora essere in agguato.
La potenza distruttiva di OfflRouter è particolare: funge da tramite per consegnare un file eseguibile noto come “ctrlpanel.exe”, che cerca di abbassare le impostazioni di sicurezza di Word e selezionare ulteriori documenti da infettare.
Nel suo funzionamento, tuttavia, OfflRouter presenta alcune limitazioni. Propagabile unicamente attraverso l’invio di documenti infettati o l’uso di unità USB, il malware ha come obiettivo solo i file con estensione “.doc”. Ciò potrebbe indicare che il malware è stato creato per colpire un numero ristretto di entità o file specifici o che l’autore del malware ha commesso un errore nella progettazione.
In ogni caso, il risveglio di questo virus decennale rappresenta un’anomalia nel quadro delle diverse operazioni di hacking in corso in Ucraina. La persistente attività di OfflRouter, limitata all’Ucraina, dovrebbe ricordarci la incessante presenza di attacchi cibernetici attuati da gruppi di hacker russi. Nonostante ciò, i ricercatori non sono stati in grado di identificare chi si trova effettivamente dietro queste operazioni.
Il virus OfflRouter ha attirato l’attenzione dei ricercatori di Talos quando hanno scoperto diversi documenti del governo locale ucraino e della Polizia Nazionale dell’Ucraina caricati su VirusTotal, un sito utilizzato dai ricercatori per eseguire analisi di documenti alla ricerca di malware, virus e altre minacce. Ulteriori indagini hanno rivelato la presenza di oltre 100 documenti che contenevano informazioni potenzialmente confidenziali riguardanti le attività della polizia.
Il fatto che il virus sia riuscito a sopravvivere per oltre 5 anni in quel particolare ambiente indica quanto siano significative le minacce rappresentate da un virus come OfflRouter infestante le organizzazioni governative. Al posto di VirusTotal, i dati potrebbero essere stati fatti trapelare a organizzazioni molto meno amichevoli.
Infine, è importante ricordare che i documenti infetti potrebbero agire come esca per colpire ulteriori agenzie e organizzazioni. I documenti esca, creati infettando documenti o abusando delle capacità di scripting automatizzate per consegnare il malware, sono una tattica comune utilizzata dai gruppi di hacker come accesso iniziale alle reti target.