CopyKittens, gli hacker iraniani che minacciano Israele e i nemici di Teheran

Si chiamano CopyKittens e, secondo i ricercatori israeliani, sono un gruppo hacker iraniano legato al governo di Teheran che minaccia la sicurezza informatica di Tel Aviv e degli altri paesi ostili all’Iran.

Di questo gruppo non si sa molto.

I CopyKittens sono saliti alla ribalta nel 2013 quando tentarono per la prima volta di violare alcuni computer israeliani; sempre quell’anno lo statunitense Wall Street Journal ha denunciato un attacco informatico iraniano contro alcune compagnie energetiche americane, attribuibile a questo gruppo; nel 2014 invece avrebbero tentato di violare la sicurezza del Ministero degli Affari Esteri di Tel Aviv e di alcuni noti ricercatori accademici israeliani specializzati in studi in Medio Oriente. Un recente report realizzato da ClearSky e Trend Micro riferisce operazioni di questo gruppo ai danni di organizzazioni e istituzioni anche in Arabia Saudita, Turchia, Germania e Giordania e contro dipendenti delle Nazioni Unite.

La particolarità di questo gruppo consiste nel tenere un profilo basso e nel non utilizzare strumenti all’avanguardia o vulnerabilità 0-days. Fino a poco tempo fa i tentativi di hackeraggio del gruppo non sarebbero mai andati a buon fine, ma nei giorni scorsi la società israeliana ClearSky, nel suo report periodico, ha accusato il gruppo iraniano di essere riuscito a violare i server di organizzazioni militari e governative mirate riuscendo a cancellare selettivamente alcuni dati.

La tecnica utilizzata dal gruppo è quella del “watering hole”, ovvero gli hacker, supponendo che la vittima visiti sistematicamente determinati siti, va a contaminare questi ultimi con dei malware e aspetta che l’utente venga a sua volta infettato non appena naviga quelle pagine.

Nello specifico il gruppo riuscirebbe ad inserire codici JavaScript malevoli in siti tatticamente scelti come il Jerusalem Post o l’IDF Disabled Veterans Organization.

Secondo gli analisti di Tel Aviv il gruppo opererebbe anche utilizzando falsi account di grandi aziende come Microsoft, Google, Amazon, Facebook e Oracle per diffondere malware tramite phishing, inviando email contenenti collegamenti a siti dannosi creati dal gruppo o documenti Office contenenti macro malevole

Altra tecnica utilizzata prevede lo sfruttamento di famosi software di penetration testing quali Havij, sqlmap e Acunetix, per individuare le vulnerabilità dei target.

Tramite questi strumenti i CopyKittens sarebbero riusciti a colpire alcuni membri del Bundestag, il parlamento federale tedesco, che erano soliti collegarsi al Jerusalem post.

Parlando dei CopyKittens, Eyal Sela, Head of Threat Intelligence di ClearSky, ha detto: “Non sono un gruppo hacker di prima fascia. Non sono soliti utilizzare vulnerabilità zero day per le loro operazioni e gli strumenti da loro utilizzati sono inferiori a quelli di altri gruppi. La loro strategia è quella di portare attacchi inaspettati tramite approcci semplici, ormai poco controllati dai software antivirus più sofisticati ed aggiornati”; non a caso il gruppo, spiega ancora Sela, “ha la tendenza a tentare di violare la rete di un’organizzazione attraverso le debolezze della catena di fornitura IT. Ha anche la tendenza a fare numerose esfiltrazione e command-and-control dei dati basati su DNS, per questo motivo le organizzazioni che ritengono possano essere obiettivi di attacco dovrebbero monitorare la loro infrastruttura DNS”.

Opportuno segnalare che molti degli strumenti che il gruppo ha utilizzato per violare le reti sono diffusi con scopi legali. Ad esempio, CopyKittens ha spesso utilizzato una versione di prova di uno strumento software commerciale denominato Cobalt Strike per cercare le vulnerabilità nelle reti di destinazione. Altri strumenti simili utilizzati includono Metasploit, Mimikatz e software per rilevare server web vulnerabili.

A cura di: Fabrizio di Ernesto