L’industria dell’oil & gas italiana ancora nel mirino degli hacker

Articolo per Wired del 11/01/2019

Un’azienda italiana del settore idrocarburi al centro di un attacco hacker con mail di phishing. Nelle scorse settimane tentato assalto a Saipem

Ave-Maria è il nome che gli analisti delle società di cybersicurezza Cybaze e Yoroi hanno dato a un virus che hanno individuato e che tramite email di phishing ha colpito un’azienda italiana del settore oil & gas. Industria di nuovo nel mirino, dopo che nei primi giorni dello scorso dicembre Saipem, colosso italiano dell’oil & gas, ha subito un tentato attacco hacker a 400 server della compagnia. Saipem non è l’azienda colpita da Ave-Maria, precisano gli analisti.

Le mail dannose hanno come mittente l’ufficio vendite di un fornitore della società e, con la scusa dell’invio di dati per le fatture e ordini di spedizione, consegnano file excel dannosi, che sfruttando una vulnerabilità del sistema, scaricano il malware sulla macchina. Obiettivo dell’attacco hacker: accaparrarsi dati sensibili di un’industria, quella dell’oil & gas, molto delicata.

Il malware contatta un C2 (centro di comando e controllo del malware) ospitato sui anglekeys.warzonedns [.]com ottenendo il comando per l’azione successiva. Inoltre, il bot è in grado di decifrare tutte le credenziali memorizzate dal browser Firefox.

Questi dati sensibili sono protetti utilizzando la crittografia Pk11 dal Mozilla network security services, quindi il malware è programmato per essere dotato di tutte le funzioni necessarie per decrittografarli. Per di più, il malware incorpora una funzione in grado di aggirare il controllo dell’accesso utente all’interno della sezione delle risorse, sfruttando una vulnerabilità di strumento Windows. Lo sviluppatore del malware ha riutilizzato un codice disponibile pubblicamente sul web per implementare questa funzionalità.

Il nome del malware è stato scelt poiché in una stringa il programma contatta il server di comando e controllo salutandolo e presentandosi come Ave_Maria. Una sorta di parola d’ordine per avviare la copia di dati.

Secondo i ricercatori di Yoroi e Cybaze l’autore, o il gruppo di autori, del malware potrebbe aver comprato la prima parte del malware nei mercati del deepweb, implementandone il contenuto con i codici reperiti online ma dimenticandosi di cancellare le informazioni su di sé.