Le entità governative nella regione Asia-Pacifico (APAC) sono sotto attacco da una campagna di cyber spionaggio di lunga durata denominata TetrisPhantom.
Dettagli dell’attacco
Secondo quanto riportato da Kaspersky nel suo rapporto sulle tendenze APT per il Q3 2023, l’attaccante ha spiato in segreto e raccolto dati sensibili dalle entità governative dell’APAC sfruttando un particolare tipo di unità USB sicura, protetta da crittografia hardware per garantire la conservazione e il trasferimento sicuro dei dati tra i sistemi informatici. La società di cybersecurity russa, che ha rilevato l’attività in corso all’inizio del 2023, ha dichiarato che le unità USB offrono crittografia hardware e sono utilizzate dalle organizzazioni governative di tutto il mondo per conservare e trasferire dati in modo sicuro, aumentando la possibilità che gli attacchi possano espandersi in futuro su scala globale.
L’attività intrusiva non è stata collegata a nessun attore o gruppo di minacce noto, ma l’alto livello di sofisticazione della campagna suggerisce l’intervento di un’entità statale. “Queste operazioni sono state condotte da un attore minaccioso altamente qualificato e pieno di risorse, con un forte interesse per le attività di spionaggio all’interno di reti governative sensibili e protette”, ha dichiarato Noushin Shabab, ricercatore senior sulla sicurezza presso Kaspersky.
Un tratto distintivo della campagna è l’uso di vari moduli malevoli per eseguire comandi e raccogliere file e informazioni dalle macchine compromesse e propagare l’infezione ad altre macchine utilizzando la stessa unità USB sicura o altre come vettore.
Componenti del malware e ulteriori attacchi
I componenti del malware, oltre a replicarsi autonomamente attraverso le unità USB sicure connesse per violare le reti isolate, sono anche in grado di eseguire altri file malevoli sui sistemi infetti. Kaspersky ha sottolineato che l’attacco comprende strumenti e tecniche sofisticate, aggiungendo che le sequenze di attacco prevedevano anche “l’iniezione di codice in un legittimo programma di gestione degli accessi sull’unità USB che funge da caricatore per il malware su una nuova macchina”.
La rivelazione arriva mentre un nuovo e sconosciuto attore di minaccia persistente avanzata (APT) è stato collegato a una serie di attacchi contro entità governative, appaltatori militari, università e ospedali in Russia tramite e-mail di spear-phishing contenenti documenti Microsoft Office insidiosi.
