Spoofing: il gruppo di hacker iraniani TA453 colpisce ancora

Per intercettare i nostri preziosi dati gli hacker utilizzano attacchi sempre più sofisticati e ingegnosi. Oltre ai soliti phishing, malware, DDoS, ramsomware, man in the middle, SQL injection e altro bisogna prestare sempre di più attenzione allo “spoofing”, un attacco informatico in cui i cybercriminali utilizzano un'identità fittizia o false informazioni per intercettare dati riservati o per compiere altri crimini. Infatti, lo spoofing viene utilizzato non solo per rubare dati personali ma anche per ripulire conti bancari, violare protocolli di sicurezza delle reti, diffondere malware e altro ancora. La tecnica dello spoofing è molto versatile e può funzionare su più livelli (da un semplice sito web fino a un SMS): con questa sorta di “impersonificazione tecnologica” è possibile ingannare una rete o un essere umano facendogli credere che la fonte sia attendibile. L'ultimo caso di “spoofing” è stato segnalato da Proofpoint, una società di sicurezza informatica, che ha scoperto come un gruppo di hacker abbia assunto per mesi l'identità di alcuni docenti della School of Oriental and African Studies dell'Università di Londra per svolgere attività di intelligence.

Un gruppo di hacker piuttosto conosciuto

TA453, un gruppo di hacker conosciuto anche come “Phosphorus” o “Charming Kitten”, è il responsabile di questo ingegnoso attacco. Negli ultimi tempi il loro nome è stato associato a un tentativo di phishing contro la campagna di rielezione dell'ex presidente degli Stati Uniti Donald Trump e a un attacco contro alcuni medici specializzati nella ricerca genetica, oncologica e neurologica in Nord America e in Israele. Secondo le informazioni raccolte da Proofpoint, i cybercriminali hanno iniziato ad attaccare le loro vittime a inizio anno: gli obiettivi designati hanno iniziato a ricevere una serie di email in cui venivano invitati a partecipare come relatori a una conferenza online intitolata “The US Security Challenge in the Middle East”.

Un attacco sorprendentemente sofisticato

Quest'operazione, denominata “SpoofedScholars” da Proofpoint, rappresenta una delle campagne più sofisticate mai realizzate da TA453. Le email inviate dagli hacker sembravano credibili o molto verosimili: il primo indirizzo utilizzato (hannse.kendel4[@]gmail.com), per esempio, faceva riferimento a un docente della School of Oriental and African Studies. Hanns Kendel non è stato l'unico studioso della SOAS a essere stato utilizzato per questo scopo: mesi dopo è toccato a Tolga Sinmazdemir, un altro docente dell'istituto. L'attacco aveva un unico comune denominatore: raccogliere preziose informazioni sulla politica estera dei paesi occidentali nei confronti dell’Iran. Infatti, sono state inviate email a giornalisti, ricercatori e ad accademici che si occupavano di politica mediorientale. Gli hacker sono stati così abili da riuscire a creare un rapporto “reale” con i loro obiettivi, organizzando persino dei falsi eventi per rendere il tutto più credibile. TA453 ha utilizzato, per esempio, dei “link di registrazione” personalizzati della stessa School of Oriental and African Studies per guadagnare la fiducia delle vittime e per ottenere una serie di dati sensibili. Il collegamento rimandava a un sito web ufficiale (soasradio[.]org) della SOAS dell'Università di Londra che era stato compromesso dai criminali informatici. Il gruppo di hacker aveva violato questo sito per acquisire nomi utente, indirizzi email e ID Facebook. La pagina web utilizzata per rubare le informazioni sembrava credibile: per registrarsi si potevano utilizzare i più importanti provider di posta (Google, Yahoo, Microsoft, iCloud, Outlook, AOL, Facebook e altro ancora). Una volta scelto il provider veniva attivata la fase di phishing per rubare le credenziali dell'ignara vittima. L'attacco era talmente sofisticato e ben congegnato che alcuni membri di TA453 sono riusciti persino a conversare con le loro vittime (con un inglese più che accettabile) facendogli credere - come dei consumati attori - di essere dei veri accademici della School of Oriental and African Studies.

In futuro sempre più attacchi spoofing?

Proofpoint si è mostrata preoccupata per questa tipologia di attacco: l'aver violato un'infrastruttura ufficiale (un sito web collegato all'Università) per rendere più credibile l'operazione ha allarmato ancor di più i loro esperti di sicurezza. Gli attacchi di TA453 per raccogliere informazioni di intelligence non si esauriranno con la sopracitata “Operation SpoofedScholars”. Per difendersi, Proofpoint consiglia ad accademici, giornalisti, ricercatori e a tutti quei bersagli sensibili per TA453 e altre organizzazioni criminali di prestare maggiormente attenzione all'identità degli individui che li contattano e di utilizzare misure difensive efficaci (come la semplice autenticazione a più fattori). Nel frattempo, Proofpoint ha prontamente segnalato la vicenda alle autorità competenti che sono ora chiamate a intervenire.