Come il mondo i principali produttori di petrolio si sono preparati per un incontro di una settimana all’inizio di questo mese per pianificare una risposta al crollo dei prezzi del greggio, gli hacker di spionaggio hanno avviato una sofisticata campagna di spear-phishing concentrata sulle società energetiche con sede negli Stati Uniti. L’obiettivo: installare un famigerato trojan che ha sottratto le comunicazioni e i dati più sensibili.
Distinguendo la campagna, le e-mail erano per lo più prive di errori di battitura, grammatica spezzata e altre sciatte tipiche dei phishing. Le e-mail riflettevano anche un mittente che conosceva bene l’attività di produzione di energia. Una raffica di e-mail che è iniziata il 31 marzo, ad esempio, ha preteso di provenire da Engineering for Petroleum and Process Industries, una vera compagnia petrolifera statale egiziana.
Non tuo Spear-Phishing di tuo padre
Il mittente ha invitato il destinatario a presentare un’offerta per attrezzature e materiali nell’ambito di un vero progetto in corso, noto come Rosetta Sharing Facilities Project, per conto di Burullus, una joint venture nel settore del gas che è per metà di proprietà di un’altra compagnia petrolifera statale egiziana. L’e-mail, che è stata inviata a circa 150 compagnie petrolifere e del gas in una settimana a partire dal 31 marzo, ha allegato due file mascherati da condizioni di offerta, moduli e una richiesta di proposta. Il numero relativamente ridotto di e-mail dimostra uno stretto targeting della campagna attentamente realizzata. Al contrario, molte campagne di phishing inviano in modo non discriminatorio decine di migliaia di e-mail.
ARS TECHNICA
Questa storia è originariamente apparsa su Ars Technica, una fonte affidabile di notizie sulla tecnologia, analisi delle politiche tecnologiche, recensioni e altro. Ars è di proprietà della società madre WIRED, Condé Nast.
“A qualcuno nel settore petrolifero e del gas, che è a conoscenza di questi progetti, l’e-mail e le informazioni all’interno potrebbero sembrare sufficientemente convincenti per aprire gli allegati”, hanno scritto i ricercatori della società di sicurezza Bitdefender in un post pubblicato martedì.
Le società più colpite erano situate in Malesia, Stati Uniti, Iran, Sudafrica e Oman.
Una seconda campagna è iniziata il 12 aprile. Ha inviato un’e-mail in cui si chiedeva ai destinatari di compilare un documento noto come Conto di erogazione del porto stimato necessario per la petroliera chimica e petrolifera denominata MT Sinar Maluku. Non solo era una nave reale registrata sotto la bandiera indonesiana, ma aveva lasciato il suo porto il 12 aprile e avrebbe dovuto raggiungere la sua destinazione due giorni dopo. L’email è stata inviata a 18 società, di cui 15 erano società di spedizioni nelle Filippine.
“Questa e-mail serve come un altro esempio della lunghezza con cui gli aggressori si spingeranno a chiarire i fatti, a rendere l’e-mail legittima e, in particolare, a indirizzare un verticale.
Glut indotto da pandemia
Le campagne sono probabilmente un tentativo di ottenere informazioni strettamente sorvegliate sugli attuali negoziati tra Russia, Arabia Saudita e altri produttori di petrolio alle prese con un eccesso di greggio derivante dalla pandemia di coronavirus. Bitdefender ha affermato che questa non è la prima volta che le aziende di questo settore sono state prese di mira. La società di sicurezza ha monitorato una serie di attacchi informatici alle compagnie energetiche nel corso dell’ultimo anno. Da settembre, il numero è aumentato ogni mese e ha raggiunto un picco a febbraio con oltre 5.000. Quest’anno ci sono stati più di 13.000 attacchi.
Entrambe le campagne recenti forniscono file che installano Agent Tesla, un’offerta malware come servizio che addebita vari prezzi in base a diversi modelli di licenza. Il trojan, che è disponibile dal 2014, ha una varietà di funzionalità che includono “tecniche invisibili, di persistenza e di evasione della sicurezza che alla fine gli consentono di estrarre credenziali, copiare i dati degli appunti, eseguire acquisizioni di schermate, form-grabbing e keylogging, e persino raccogliere le credenziali per una varietà di applicazioni installate “.
Le aziende negli Stati Uniti sono state le più colpite, seguite da Regno Unito, Ucraina e Lettonia.
“La cosa interessante è che, fino ad ora, non è stato associato a campagne mirate al settore petrolifero e del gas”, hanno aggiunto i ricercatori di Bitdefender.
La campagna ricorda che, nonostante la crescente consapevolezza degli attacchi di phishing, rimangono uno dei modi più efficaci per gli attaccanti di prendere piede nelle aziende target. Anche quando le e-mail di phishing contengono errori di ortografia, errori grammaticali e altri difetti, i destinatari spesso assumono giustamente che questi sono i risultati dei mittenti che scrivono in una seconda lingua. I phishing e quelli realizzati hanno una probabilità di successo ancora maggiore.
.
