L’americana iSight Partners, che ha portato alla luce la campagna di spionaggio degli hacker russi contro obiettivi ucraini, europei e statunitensi, è una delle società top nel mondo per le operazioni di intelligence contro le cyber-minacce. Il suo intelligence team è costituito da oltre 200 specialisti dislocati in 16 Paesi, il cui compito è analizzare e comprendere l’ecosistema globale delle minacce che vengono dalla Rete, risalendo a origini e metodologie delle minacce e collaborando con le strutture di intelligence dei suoi partner per proteggere il loro business e guidare le loro strategie di security.
IL CONTESTO DELLE CYBER-MINACCE
Dal punto di vista di iSight, la difesa dalle cyber-minacce si fa non solo con gli strumenti tecnologici, ma con una comprensione più ampia del contesto sociale, economico, politico e culturale in cui le minacce hanno origine. I clienti di iSight sono aziende di vari settori, in particolare quelli dei servizi finanziari, dell’energia, oil and gas, della sanità, degli alimentari e del retail. Sono clienti di iSight sette delle 10 maggiori banche Usa e tre delle 4 maggiori società che emettono carte di credito. I servizi di cyber-intelligence di iSight sono ovviamente molto usati anche dagli enti federali e locali americani: sono suoi clienti più 240 organismi del settore pubblico negli Stati Uniti.
UNA NUOVA COALIZIONE ANTI-MALWARE
Insieme alla scoperta della vulnerabilità zero-day di Windows usata nell’azione di cyber-spionaggio attribuita alla Russia, e alla pubblicazione della patch da parte di Microsoft, iSight ha anche annunciato la partecipazione a una più vasta coalizione di partner industriali – guidata da Novetta – per combattere un altro gruppo di cyber-spie, non connesso col precedente. Essendo Novetta la leader di questa iniziativa, tutti gli aggiornamenti verranno dati sul suo sito. I membri della coalizione sono Cisco, FireEye, F-Secure, Microsoft, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Volexity, più altre aziende che hanno preferito non rivelare la propria partecipazione.
LO SCAM DI TORRENTLOCKER
iSight è anche la società che ha per prima portato alla luce, lo scorso agosto, la minaccia chiamata TorrentLocker, un ransomware (cioè un malware che blocca il computer e chiede un riscatto per ripristinarlo) che ne imita altri più noti, CryptoLocker e CryptoWall.
TorrentLocker è apparso prima in Australia e poi in Uk, prendendo le sembianze di una falsa email delle Poste britanniche e infettando e bloccando una serie di computer ai cui proprietari veniva poi chiesto il riscatto in bitcoin per un valore di 350 sterline se pagate entro 24 ore, altrimenti di 700 sterline, per ripristinare il funzionamento del sistema. La società di security Eset, che pure ha seguito il caso, riferisce di aver scoperto un portafoglio bitcoin associato a TorrentLocker dove erano stati trasferiti più di 82mila bitcoin, pari a 24,5 milioni di sterline.
SCOPERTO ANCHE LO SPIONAGGIO IRANIANO
Altra minaccia portata alla luce da iSight, lo scorso maggio, è stata una massiccia campagna di cyber-spionaggio, durata tre anni, da parte di hacker iraniani che hanno creato falsi account di social network e un sito di news fasullo per spiare leader politici e delle forze militari di Usa, Israele e altri Paesi. iSight ha indicato che tra le vittime dell’azione di cyber-spionaggio ci sono un alto ammiraglio della Marina americana, politici e ambasciatori Usa e dipendenti pubblici di vario livello in Afghanistan, Uk, Irak, Israele, Arabia Saudita e Siria. “Se l’attacco è andato avanti così a lungo, è chiaro che ha centrato gli obiettivi”, ha sottolineato Tiffany Jones, Executive vice president di iSight.
iSight ha ribattezzato l’operazione “Newscaster” perché gli hacker iraniani avevano creato sei false identità di dipendenti di un sito di news, NewsOnAir.org, che utilizzava contenuti di Associated Press, Bbc, Reuters e altri canali media. Gli hacker hanno “forgiato” altre otto identità di finti collaboratori di società che rifornivano la Difesa e altre agenzie governative. Le cyber-spie iraniane hanno quindi creato falsi profili su Facebook e altri social network per tutte queste 14 “persone”, riempiendoli di contenuti inventati ad hoc, e cercando di entrare nella cerchia degli amici dei loro target, ai quali mandavano anche link agli articoli del sito NewsOnAir.org, contenenti software maligno con cui ne infettavano i computer, impossessandosi dei dati. Con queste 14 false identità, gli hacker sono riusciti a tessere connessioni con 2mila persone.