26/6/2023
Cybersicurezza

Earth Preta: Analisi di una campagna di cyber spionaggio globale

La comunità degli operatori impegnati nelle attività di cybersicurezza è sempre stata in costante allerta per proteggere le informazioni e le infrastrutture critiche dalle minacce cyber. Esistono molte organizzazioni che lavorano instancabilmente per proteggere i dati e le infrastrutture, ma nonostante gli sforzi, la minaccia rimane costante e sempre più sofisticata.

In particolare, la campagna di cyber spionaggio Earth Preta è una delle più sofisticate e pericolose operazioni di attacco informatico rilevate di recente. Questa campagna ha fatto emergere la necessità di aumentare la consapevolezza sulla minaccia, migliorare le tecnologie di difesa e rafforzare la sicurezza delle infrastrutture critiche.

Con questo articolo, vogliamo esaminare in dettaglio la storia di Earth Preta attraverso tre articoli pubblicati da Trend Micro. Analizzeremo gli obiettivi, i metodi e l'evoluzione delle sue strategie di attacco, in modo da migliorare la comprensione della minaccia e fornire suggerimenti su come proteggere le infrastrutture critiche.

Le fonti utilizzate per questa analisi sono:

  1. Spear Phishing Governments Worldwide
  2. Cyberespionage Campaign Hits Over 200
  3. Updated Stealthy Strategies

Le origini di Earth Preta

Earth Preta è emersa come una campagna di cyber spionaggio altamente sofisticata e aggressiva, con radici che possono essere fatte risalire almeno al 2022, secondo l'analisi di Trend Micro [1]. Le prime tracce di Earth Preta sono state identificate attraverso l'analisi di un aumento degli attacchi di spear-phishing mirati ai governi di tutto il mondo. Questi attacchi hanno mostrato un livello di personalizzazione e un'efficacia notevoli, indicando che gli aggressori dietro Earth Preta avevano accesso a una vasta quantità di informazioni sulle vittime e le loro organizzazioni.

La campagna è stata inizialmente scoperta grazie all'analisi delle tecniche utilizzate negli attacchi di spear-phishing, che includevano l'uso di email altamente convincenti e mirate, temi legati a politica, sicurezza e geopolitica, e l'impiego di malware avanzati per compromettere i sistemi delle vittime [1]. I ricercatori di Cymulate hanno anche contribuito all'identificazione di Earth Preta, rilevando un aumento di attività di spear-phishing contro i governi di tutto il mondo [4].

Gli obiettivi e il modus operandi

La campagna Earth Preta ha colpito una vasta gamma di obiettivi, inclusi governi, organizzazioni internazionali, istituzioni accademiche e aziende private [2]. Gli aggressori hanno dimostrato una notevole determinazione nel selezionare e compromettere le loro vittime, concentrandosi in particolare su individui e organizzazioni con accesso a informazioni sensibili e di alto valore.

Il modus operandi di Earth Preta è caratterizzato dall'uso di tecniche avanzate di ingegneria sociale e di attacco informatico. Gli attacchi di spear-phishing sono stati progettati per ingannare le vittime e indurle a interagire con email dannose, contenenti allegati infetti o collegamenti a siti Web compromessi [1]. Una volta che un sistema è stato compromesso, il malware utilizzato da Earth Preta è in grado di esfiltrare dati, monitorare l'attività degli utenti e fornire un accesso remoto agli aggressori. Inoltre, i malware utilizzati sono stati progettati per eludere le soluzioni di sicurezza comuni e mantenere una presenza discreta nei sistemi infetti [3].

Le tecniche di attacco utilizzate da Earth Preta comprendono l'uso di exploit zero-day, l'abuso di servizi cloud legittimi per il comando e il controllo (C2) dei sistemi infetti, e la creazione di infrastrutture di attacco complesse per nascondere l'origine e l'intenzione degli aggressori [4]. Queste tattiche evidenziano la sofisticatezza e la determinazione degli attori dietro Earth Preta nel perseguire i loro obiettivi e nel mantenere un basso profilo durante le loro operazioni di cyber spionaggio.

L'evoluzione delle strategie di Earth Preta

Nel corso del tempo, Earth Preta ha aggiornato le sue strategie per eludere i sistemi di sicurezza informatica e prolungare la sua presenza nei sistemi infetti. Trend Micro ha identificato tre importanti aggiornamenti nelle tattiche di Earth Preta [3]:

  1. L'utilizzo di tecniche di offuscamento avanzate per nascondere la presenza del malware e le sue attività malevole. Questo include l'uso di codice cifrato e l'abuso di servizi cloud legittimi per il comando e il controllo (C2) dei sistemi infetti.
  2. L'introduzione di nuovi strumenti di attacco e l'aggiornamento dei malware esistenti per migliorare le loro capacità di intrusione, esfiltrazione e persistenza. Ciò ha incluso l'aggiunta di nuovi moduli di attacco e l'implementazione di tecniche di persistenza avanzate, come l'iniezione di codice nei processi del sistema operativo e la modifica delle chiavi di registro per avviare il malware all'avvio del sistema.
  3. L'adozione di tecniche di ingegneria sociale più sofisticate per aumentare l'efficacia delle campagne di spear-phishing. Gli attacchi sono diventati più mirati e personalizzati, utilizzando informazioni specifiche sui destinatari, come i loro interessi e le loro responsabilità lavorative, per rendere le email più convincenti e aumentare la probabilità di successo.

Le implicazioni per la comunità degli operatori della cybersicurezza

L'evoluzione delle strategie di Earth Preta sottolinea l'importanza per le organizzazioni di rimanere aggiornate sulle minacce emergenti e di adottare misure di sicurezza proattive per proteggere le loro infrastrutture e le informazioni sensibili. Alcune raccomandazioni per mitigare il rischio di attacchi come Earth Preta includono:

  1. Educazione e formazione degli utenti sulle minacce di spear-phishing e sulle buone pratiche di sicurezza informatica, come il riconoscimento di email sospette e l'utilizzo di password complesse e uniche.
  2. L'implementazione di soluzioni di sicurezza avanzate, come i sistemi di prevenzione delle intrusioni (IPS), i gateway di sicurezza delle email e le soluzioni di protezione degli endpoint, per rilevare e bloccare gli attacchi di spear-phishing e il malware associato.
  3. Monitoraggio continuo e analisi delle minacce emergenti, collaborando con partner di sicurezza come Trend Micro e condividendo informazioni sulle nuove tattiche, tecniche e procedure (TTP) utilizzate dai gruppi di cyber spionaggio come Earth Preta.

Conclusione

La campagna di cyber spionaggio Earth Preta rappresenta una minaccia significativa per la sicurezza informatica a livello globale, colpendo obiettivi di alto profilo in tutto il mondo e utilizzando tattiche sempre più sofisticate per eludere le difese. È fondamentale che la comunità della cybersicurezza continui a monitorare, analizzare e condividere informazioni su queste minacce emergenti, e adottare misure proattive per proteggere le infrastrutture critiche e le informazioni sensibili.