Immagine: Thorsten Schier/Shutterstock
Un sofisticato malware governativo, progettato per fare ricognizioni sul sistema di rete elettrica in vista di eventuali attacchi informatici ai danni di infrastrutture importanti, è stato trovato su un forum di hacking del dark web.Solitamente, i ricercatori che si occupano di sicurezza informatica riescono a mettere le mani su software dannosi come spyware o virus, quando una vittima che utilizza un loro software, come un antivirus, viene infettata. A volte, però, capita che scovino questo tipo di materiale altrove. È il caso di Furtim, un malware appena scoperto, rilevato di recente dai ricercatori dell'azienda di sicurezza informatica SentinelOne.Secondo un documento pubblicato martedì, i ricercatori di SentinelOne ritengono che il malware sia stato creato da un gruppo di hacker provenienti molto probabilmente dall'Europa orientale, al soldo del governo.Naturalmente, nei forum di hacking si annida un grande numero di malware. In genere, però, non sono luoghi dove le persone si scambiano sofisticati strumenti di hacking governativi.Udi Shamir, Chief Security Officer presso SentinelOne, ha spiegato che è normale trovare codici riutilizzati e malware sui forum, perché "nessuno cerca di reinventare la ruota da capo ogni volta." Ma, in questo caso, "è stata una vera sorpresa vedere un esempio così sofisticato nei forum di hacking", ha spiegato a Motherboard in un'intervista telefonica.
Pubblicità
Shamir ha detto che il malware, battezzato Furtim, "chiaramente non" è stato creato da criminali informatici per guadagnarci, ma farebbe pensare piuttosto a uno strumento per operazioni di spionaggio governativo.Furtim è un "dropper tool," una piattaforma che infetta una macchina e fornisce la base tramite cui lanciare ulteriori attacchi. Lo strumento, progettato per colpire specificamente le aziende energetiche europee che utilizzano Windows, è stato diffuso a maggio, ed è ancora attivo, secondo SentinelOne.Un'altra caratteristica rilevante è che Furtim sembra fatto apposta per eludere decine di prodotti antivirus, sandbox e virtual machine comuni, così da restare nascosto il più a lungo possibile. L'obiettivo è "rimuovere qualsiasi software antivirus installato sul sistema e rilasciare il suo payload finale," recita il documento di SentintelOne.Gli esperti di sicurezza ritengono che certe infrastrutture di rilievo, come, ad esempio, la rete energetica, siano estremamente vulnerabili agli attacchi informatici e credono che i conflitti futuri potrebbero essere scatenati proprio utilizzando i malware per far saltare le reti elettriche. Anche se sembra inverosimile, alla fine dello scorso anno, un gruppo di hacker, presumibilmente al soldo del governo russo, ha causato un blackout in alcune aree dell'Ucraina, dopo aver ottenuto l'accesso alla rete elettrica tramite un malware.Non è chiaro chi ci sia dietro questa operazione di cyberespionaggio, ma secondo Shamir è probabile che si tratti di un governo dell'Europa dell'est dotato delle risorse e delle competenze necessarie. Gli sviluppatori del malware hanno molta familiarità con Windows; lo conoscevano "fino nel minimo dettaglio," ha spiegato Shamir."Non è il lavoro di un principiante," ha concluso. "Si tratta di cyberspionaggio di altissimo livello.""Non è il lavoro di un principiante. […] Si tratta di cyberspionaggio di altissimo livello."