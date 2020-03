Di Pierguido Iezzi

Il momento di massima criticità come questo che stiamo vivendo ha avuto la sfortunata conseguenza di far registrare un picco nelle attività dei Criminal hacker, sempre in prima linea per approfittare del caos creato dalla pandemia.

Neppure l’Organizzazione Mondiale della Sanità (OMS), è rimasta fuori dal mirino dei Criminal Hacker, con un raddoppio degli attacchi indirizzati contro di essa, secondo fonti interne

In maniera ancora più preoccupante, sono emerse anche le prove che il gruppo DarkHotel APT ha cercato di infiltrarsi nelle sue reti per rubare informazioni.

Recentemente è stato osservato persino un sito maligno che ha imitato il sistema di posta elettronica interno dell’OMS. Il suo scopo era quello di rubare le password a diversi collaboratori delle agenzie, prova schiacciante che si trattava di un attacco diretto contro l’Organizzazione Mondiale della Sanità nel bel mezzo di una pandemia.

L’attacco sembrava essere progettato per ottenere un punto d’appoggio all’agenzia piuttosto che essere fine a sé stesso. Una cosa è comunque certa, i criminali informatici stanno cercando di creare siti web e domini e-mail simili e convincenti per far leva sulla paura e attirare le persone ad aprire gli allegati o a cliccare su un link, questo a sua volta viene fatto per caricare malware sui loro sistemi e causare la compromissione degli stessi.

Perché l’OMS?

Per quanto riguarda il “perché” dell’attacco, che è stato sventato, è facile intuire come le informazioni sulle ricerche in corso per sanare l’emergenza coronavirus – come le cure, i test o i vaccini – sarebbero state preziose per i funzionari dell’intelligence di qualsiasi Stato.

Non a caso DarkHotel, un APT associato allo svolgimento di attività di spionaggio informatico in Cina, Corea del Nord, Giappone e Stati Uniti, potrebbe essere il colpevole dell’attacco.

Non sono stati forniti ulteriori dettagli al momento, ma è bene capire chi potrebbe nascondersi dietro l’attacco e perché l’allerta deve rimanere alta.

DarkHotel è stato identificato per la prima volta nel 2014. L’APT (sinonimo di un gruppo di Criminal Hacker particolarmente esperto e organizzato) è diventato noto per aver preso di mira diplomatici e dirigenti aziendali tramite reti Wi-Fi in hotel di lusso – ma ha ampliato il suo target nel corso degli anni, pur continuando a sfruttare le vulnerabilità e gli exploit zero-day.

Per esempio,all’inizio del 2020, DarkHotel è stato osservato utilizzare i documenti di Office per attacchi mirati utilizzando un zero-day in Internet Explorer.

I Criminal Hacker continuano a cavalcare l’onda della paura

Nel frattempo, i criminali informatici stanno attingendo a piene mani dalle paure che circondano il coronavirus lanciando una serie di Cyber attacchi che utilizzano COVID-19 come esca.

Il CISO stesso dell’OMS ha ammesso che non solo sono aumentati gli attacchi nei loro confronti, ma che il nome dell’organizzazione stessa viene “speso” in campagne di Phishing contro utenti distratti. L’OMS ha recentemente pubblicato un avviso di allerta contro questo tipo di tentativi di attacco.

Una di queste campagne è la distribuzione di una nuova variante del malware HawkEye keylogging che utilizza lo spam e che si spaccia per un “allarme” del direttore generale dell’OMS Tedros Adhanom Ghebreyesus.

Gli sforzi sono piuttosto sofisticati. Per esempio pochi giorni fa una campagna di phishing che impersona l’OMS che ha richiesto donazioni Bitcoin al COVID-19 Solidarity Response Fund, il nome di un fondo legittimo creato dall’OMS.

Il corpo di un messaggio sembrava essere copiato direttamente dal sito web ufficiale del fondo. Inoltre, le e-mail di phishing hanno falsificato gli indirizzi dell’OMS (per esempio, utilizzando <donate@who.int>) ma non sono state inviate da domini validi dell’OMS.

Al di fuori degli attacchi legati all’OMS, ogni giorno vengono comunque registrati oltre 2.000 siti a tema coronavirus, molti dei quali maligni. Non mancano neppure le ondate di email guidate da botnet, che utilizzano il coronavirus come tema, lanciando attacchi di phishing e malware.

Altre minacce includono le app che pretendono di condividere informazioni relative al coronavirus (ma che in realtà accedono ai dispositivi delle vittime); e siti web fraudolenti che vendono false cure per il coronavirus.

La raccomandazione rimane sempre la stessa, cercare informazioni solo presso le fonti ufficiali e i loro siti web. È quasi certo che la tendenza al rialzo di questa attività continuerà e si accelererà nelle settimane a venire.