Torna alla home
Torna alla home
.....
Open menu
Home
 
Search
 
MY
Articoli Salvati
 
CANALI
Startup
Economy
Smart Money
Life
Food Makers
Lifestyle
UpSkill
Impact
Valore Responsabile
 
RUBRICHE
Cover Story
That's Round
Breaking News
Firme dal futuro
Viaggio in Italia
Italiani dell'altro mondo
Unstoppable Women
Bandi, istruzioni per l'uso
Imprenditori sostenibili
Dossier
Agenda
Bandi
 
AREE
Chi siamo
Advisory Board
Lavora con noi
Area Investor
Live TV
SIOS
desc blur blur
TECH

MartyMcFly – Industria navale italiana nel mirino di hacker che viaggiano nel tempo

 ⏱ Leggi in 2 min
  ⏱2 min read
TECH
Share article
Set prefered

MartyMcFly – Industria navale italiana nel mirino di hacker che viaggiano nel tempo

Share article
Set prefered

Scoperto un attacco estremamente sofisticato contro un’azienda dell’industria navale italiana

Scoperto un attacco estremamente sofisticato contro un’azienda dell’industria navale italiana

Cybersecurity
author avatar
Pierluigi Paganini
19 ott 2018

Pochi giorni fa, gli esperti dell’azienda di sicurezza Yoroi hanno individuato un attacco contro una delle principali aziende dell’industria navale italiana, un attacco come che si distingue dagli altri per la complessità del codice e per l’abilità mostrata dagli attaccanti.

Spesso parliamo di attacchi mirati contro aziende di tutto il mondo dimenticandoci che molte delle nostre imprese grazie alle loro capacità innovative sono un obiettivo strategico per attori nation state e per gruppi criminali.

Come vedremo a breve, l’attacco che stiamo per raccontare ha dei contorni inquietanti e misteriosi, il malware è stato denominato MartyMcFly Malware come il personaggio immaginario protagonista della trilogia cinematografica Ritorno al futuro, è c’è un sinistro motivo a tutto ciò.

 

Che cosa è successo

Il 9 ottobre un’importante azienda italiana del settore navale riceve una mail di spear-phishing contenente una proposta commerciale, il mittente, sembrerebbe essere la Servizi Marittimi Mark Van Schaick (con sede a Rotterdam).

La mail è ben scritta, il mittente manifesta in essa la volontà di acquistare alcuni prodotti dell’azienda italiana fornendo indicazioni dettagliate di prezzo e numero di catalogo, circostanza che palesa che ci si trovi dinanzi ad un attacco mirato.

La mail non è unica, nei giorni successivi ve ne succedono altre simili, alcune delle quali apparentemente provenienti dalla società greca Naviera Ulises.

Tutte le mail, sebbene riproducano i loghi ed il layout dei legittimi mittenti sono invece messaggi provenienti dagli attaccanti ed opportunamente camuffate, l’obiettivo è quello di indurre le vittime ad aprire un file excel allegato contenente l’elenco dei pezzi di ricambio necessari.

L’apertura di questo file excel innesca il processo di infezione che inizia con il download di un primo codice malevolo dal sito della società metalmeccanica turca Apex Elektrik, quest’ultima non coinvolta nell’attacco ma i cui server sono stati compromessi dagli attaccanti.

Il file excel è concepito per sfruttare una nel componente Equation Editor di Office e identificata come CVE-2017-11882, vulnerabilità scoperta quindi del 2017 (prendere nota di questa data ????)

Fruttando la vulnerabilità l’attaccante intende installare sulla macchina della vittime un Remote Access Trojan (Rat), ovvero un malware che consente di prendere il controllo della macchina infetta.

Perché il nome MartyMcFly?

Qui la storia si complica, infatti il malware utilizzato nell’attacco sarebbe stato osservato per la prima volta nel 2010, sette anni prima!

Se la data è giusta, e sarebbe certificata dal principale servizio di analisi malware online, Virus Total, gli attaccanti avrebbero utilizzato indisturbati una zero-day CVE-2017-11882 almeno dal 2010 fino alla sua scoperta nel 2017.

Il malware quindi non sarebbe mai stato identificato per ben 8 anni, fino a quando Yoroi non ne trova traccia sui sistemi di una azienda italiana.

Inquietante, ma in realtà c’è qualcosa di ancor più disarmante.

Analizzando il codice del Malware Marco Ramilli ed il suo team di Yoroi ha fatto una scoperta ancor più preoccupante.

All’interno del codice vi è un controllo che verifica la data di esecuzione del malware e ne autorizza l’attivazione solo dopo il 2017 (nel codice è presente un controllo con la stringa 0x7E1 ovvero 2017 in codifica esadecimale).

Mettiamo insieme i pezzi di quello che appare un vero e proprio giallo.

Qualcuno già nel 2010 era a conoscenza di una falla che sarebbe stata sfruttata nel 2017, non solo ne programma l’attivazione del codice dopo la data in cui sarebbe stato scoperto.

Quest’attaccante sembrerebbe essere in possesso nel 2010 di informazioni divulgate nel 2017, che ci si trovi dinanzi un viaggiatore nel tempo come MartyMcFly? Oppure l’assunzione fatta da Virus Total che il codice sia stato visto per la prima volta nel 2010 è semplicemente errata?

Vi ometto i dettagli tecnici sul MartyMcFly malware che troverete in un interessante e dettagliata analisi pubblicata sul nuovo blog aziendale di Yoroi tuttavia è importante comprendere quanto le nostre aziende siano esposte a minacce di crescente complessità.

Dopo aver analizzato in dettaglio il rapporto di Yoroi è mia personale opinione che ci si trovi dinanzi un attaccante nation-state intento in una campagna di spionaggio mirata, circostanza che deve indurci ad innalzare i livelli di protezione per le nostre strutture.

Tags: #MARTYMCFLY-MALWARE
Iscriviti alla newsletter di SI

Info, networking, best practice sull'innovazione digitale in Italia.

Home
Il magazine dell'innovazione e delle startup italiane
facebook
twitter
instagram
linkedin
tiktok

 

LifeValore ResponsabileSmart MoneyThe food makers

 

TechEconomyEducationLifestyleStartupImpact

StartupItalia

Advisory BoardArea InvestorSIOSShoppingAgendaBandiLavora con noi
loading autori
StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012
StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA - CA - 352408, Capitale Sociale: € 28.924,60, PEC startupitalia (at) legalmail.it
Privacy 
|
Cookies
Torna alla home
CANALI
Startup
Economy
Smart Money
Life
Food makers
Lifestyle
UpSkill
Impact
Valore Responsabile
RUBRICHE
Cover Story
That's Round
Breaking News
Firme dal futuro
Viaggio in Italia
Italiani dell'altro mondo
Unstoppable Women
Bandi, istruzioni per l'uso
Imprenditori sostenibili
Dossier
Agenda
Bandi
AREE
Chi siamo
Advisory Board
Lavora con noi
Area Investor
LIVE TV
SIOS