La comunità degli operatori impegnati nelle attività di cybersicurezza è sempre stata in costante allerta per proteggere le informazioni e le infrastrutture critiche dalle minacce cyber. Esistono molte organizzazioni che lavorano instancabilmente per proteggere i dati e le infrastrutture, ma nonostante gli sforzi, la minaccia rimane costante e sempre più sofisticata.
In particolare, la campagna di cyber spionaggio Earth Preta è una delle più sofisticate e pericolose operazioni di attacco informatico rilevate di recente. Questa campagna ha fatto emergere la necessità di aumentare la consapevolezza sulla minaccia, migliorare le tecnologie di difesa e rafforzare la sicurezza delle infrastrutture critiche.
Con questo articolo, vogliamo esaminare in dettaglio la storia di Earth Preta attraverso tre articoli pubblicati da Trend Micro. Analizzeremo gli obiettivi, i metodi e l'evoluzione delle sue strategie di attacco, in modo da migliorare la comprensione della minaccia e fornire suggerimenti su come proteggere le infrastrutture critiche.
Le fonti utilizzate per questa analisi sono:
Earth Preta è emersa come una campagna di cyber spionaggio altamente sofisticata e aggressiva, con radici che possono essere fatte risalire almeno al 2022, secondo l'analisi di Trend Micro [1]. Le prime tracce di Earth Preta sono state identificate attraverso l'analisi di un aumento degli attacchi di spear-phishing mirati ai governi di tutto il mondo. Questi attacchi hanno mostrato un livello di personalizzazione e un'efficacia notevoli, indicando che gli aggressori dietro Earth Preta avevano accesso a una vasta quantità di informazioni sulle vittime e le loro organizzazioni.
La campagna è stata inizialmente scoperta grazie all'analisi delle tecniche utilizzate negli attacchi di spear-phishing, che includevano l'uso di email altamente convincenti e mirate, temi legati a politica, sicurezza e geopolitica, e l'impiego di malware avanzati per compromettere i sistemi delle vittime [1]. I ricercatori di Cymulate hanno anche contribuito all'identificazione di Earth Preta, rilevando un aumento di attività di spear-phishing contro i governi di tutto il mondo [4].
La campagna Earth Preta ha colpito una vasta gamma di obiettivi, inclusi governi, organizzazioni internazionali, istituzioni accademiche e aziende private [2]. Gli aggressori hanno dimostrato una notevole determinazione nel selezionare e compromettere le loro vittime, concentrandosi in particolare su individui e organizzazioni con accesso a informazioni sensibili e di alto valore.
Il modus operandi di Earth Preta è caratterizzato dall'uso di tecniche avanzate di ingegneria sociale e di attacco informatico. Gli attacchi di spear-phishing sono stati progettati per ingannare le vittime e indurle a interagire con email dannose, contenenti allegati infetti o collegamenti a siti Web compromessi [1]. Una volta che un sistema è stato compromesso, il malware utilizzato da Earth Preta è in grado di esfiltrare dati, monitorare l'attività degli utenti e fornire un accesso remoto agli aggressori. Inoltre, i malware utilizzati sono stati progettati per eludere le soluzioni di sicurezza comuni e mantenere una presenza discreta nei sistemi infetti [3].
Le tecniche di attacco utilizzate da Earth Preta comprendono l'uso di exploit zero-day, l'abuso di servizi cloud legittimi per il comando e il controllo (C2) dei sistemi infetti, e la creazione di infrastrutture di attacco complesse per nascondere l'origine e l'intenzione degli aggressori [4]. Queste tattiche evidenziano la sofisticatezza e la determinazione degli attori dietro Earth Preta nel perseguire i loro obiettivi e nel mantenere un basso profilo durante le loro operazioni di cyber spionaggio.
Nel corso del tempo, Earth Preta ha aggiornato le sue strategie per eludere i sistemi di sicurezza informatica e prolungare la sua presenza nei sistemi infetti. Trend Micro ha identificato tre importanti aggiornamenti nelle tattiche di Earth Preta [3]:
L'evoluzione delle strategie di Earth Preta sottolinea l'importanza per le organizzazioni di rimanere aggiornate sulle minacce emergenti e di adottare misure di sicurezza proattive per proteggere le loro infrastrutture e le informazioni sensibili. Alcune raccomandazioni per mitigare il rischio di attacchi come Earth Preta includono:
La campagna di cyber spionaggio Earth Preta rappresenta una minaccia significativa per la sicurezza informatica a livello globale, colpendo obiettivi di alto profilo in tutto il mondo e utilizzando tattiche sempre più sofisticate per eludere le difese. È fondamentale che la comunità della cybersicurezza continui a monitorare, analizzare e condividere informazioni su queste minacce emergenti, e adottare misure proattive per proteggere le infrastrutture critiche e le informazioni sensibili.