Il team di sicurezza di BlackBerry ha pubblicato oggi i dettagli su un nuovo gruppo mercenario di hacker su commissione che hanno scoperto all’inizio di quest’anno e che hanno collegato ad attacchi alle vittime in tutto il mondo.
Il gruppo, che BlackBerry ha chiamato CostaRicto, è il quinto gruppo di hacker a noleggio scoperto quest’anno dopo artisti del calibro di:
- BellTrox (noto anche come Dark Basin) [ 1 , 2 , 3 ]
- DeathStalker (aka Deceptikons) [ 1 , 2 ]
- Bahamut [ 1 , 2 ]
- Gruppo senza nome [ 1 ]
La scoperta di CostaRicto arriva anche a confermare retroattivamente un rapporto di Google di maggio, quando il colosso tecnologico statunitense ha evidenziato il numero crescente di gruppi mercenari di hacker a noleggio, in particolare quelli che operano fuori dall’India.
Tuttavia, mentre BellTrox è stata collegata a un’entità indiana e Bahamut è sospettato di operare anche fuori dall’India, i dettagli sulle attuali origini e ubicazione di CostaRicto rimangono ancora sconosciuti.
Ciò che è attualmente noto è che il gruppo ha orchestrato attacchi in tutto il mondo in diversi paesi in Europa, Americhe, Asia, Australia e Africa.
Tuttavia, BlackBerry afferma che la più grande concentrazione di vittime sembra essere nell’Asia meridionale, e in particolare in India, Bangladesh e Singapore, suggerendo che l’hacker potrebbe avere sede nella regione, “ma che lavora su una vasta gamma di commissioni da diversi clienti.”
Per quanto riguarda la natura degli obiettivi, il BlackBerry Research and Intelligence Team ha affermato in un rapporto di oggi che “i profili delle vittime sono diversi in diversi settori verticali, e gran parte sono istituzioni finanziarie”.
Inoltre, BlackBerry afferma che “la diversità e la geografia delle vittime non si adattano all’immagine di una campagna sponsorizzata da un particolare stato” ma suggerisce che sono “un insieme di obiettivi che potrebbero essere spiegati da diversi incarichi commissionati da entità più disparate.”
GRUPPO COSTARICTO LEGATO AL NUOVO SOFISTICATO MALWARE SOMBRA
BlackBerry aggiunge anche che mentre il gruppo utilizza malware personalizzato e mai visto prima, non opera utilizzando tecniche innovative.
La maggior parte dei loro attacchi si basa su credenziali rubate o e-mail di spear phishing come vettore di ingresso iniziale. Queste e-mail di solito forniscono un trojan backdoor che BlackBerry ha chiamato Sombra o SombRAT.
Il trojan backdoor consente agli operatori di CostaRicto di accedere a host infetti, cercare file sensibili ed esfiltrare documenti importanti.
Questi dati vengono solitamente rinviati all’infrastruttura di comando e controllo di CostaRicto, che secondo BlackBerry è solitamente ospitata sul dark web e accessibile solo tramite Tor.
Inoltre, gli host infetti di solito collegano questi server tramite uno strato di proxy e tunnel SSH per nascondere il traffico dannoso alle organizzazioni infette.
Tutto sommato, BlackBerry afferma che queste pratiche “rivelano una sicurezza operativa superiore alla media” rispetto ai soliti gruppi di hacker.
Tutti i campioni di malware di CostaRicto che BlackBerry ha scoperto sono stati rintracciati già nell’ottobre 2019, ma altri indizi nei server della banda suggeriscono che il gruppo potrebbe essere stato attivo anche prima, nel lontano 2017.
Inoltre, i ricercatori hanno affermato di aver anche scoperto una sovrapposizione con le campagne precedenti di APT28, una delle unità di hacking militari russe, ma BlackBerry ritiene che la sovrapposizione del server possa essere stata accidentale.
GRUPPI DI HACKER SU RICHIESTA: IL NUOVO PANORAMA
Per molti anni, la maggior parte dei gruppi di hacking ha operato come gruppi autonomi, eseguendo attacchi motivati finanziariamente, rubando dati e vendendo per i propri profitti.
Le esposizioni pubbliche di BellTrox, DeathStalker, Bahamut e CostaRicto quest’anno mostrano una scena in via di maturazione degli hacker su commissione, con sempre più gruppi che affittano i loro servizi a più clienti con programmi diversi, invece di operare come lupi solitari.
Il prossimo passo nell’indagare su questi gruppi dovrà guardare chi sono i loro clienti. Sono società private o governi stranieri. O sono entrambi?