サイバー攻撃下のイタリア、「#MattarellaDimettiti」、舞台裏でのAPT28のロシア人?

ビュー

昨年400月、マタレラ共和国大統領が経済大臣としてのパオロサヴォーナの立候補に彼の寛大な「ノー」を与えた一方で、XNUMXを超える新しいアカウントが数分でTwitterに作成されました。

午前2時ごろ、数千件の侮辱とセルジオ・マッタレッラの辞任勧誘のメッセージがあり、ハッシュタグは "#MattarellaDimettiti "。 ロシアがイタリア情勢に干渉することへの恐れは、政治選挙中にすでに知られていましたが、同時攻撃の証明された行動は、この論文/イタリアの諜報機関の情報を裏付けています。 郵便警察は、マタレラ事件で、ソーシャルメディア「ツイッター」のこの大規模な使用の背後に、「トロール」を専門とする経験豊富なロシアのオペレーターがいる可能性があると指定しました。 ロシアの国家問題への干渉は、米国、フランス、ドイツでの大統領選挙キャンペーン中にすでに記録されています。 サイバー世界で非常に高度で普及している機能。 たとえば、米国では、FacebookとTwitterの運用セクションの助けを借りて、一部の「プライベート」ロシア機関が数万の「異常な」アカウントまたは偽のアカウントを通じてスポンサーシップキャンペーンに数十万ドルを投資したことが発見されました。 。 これらすべての「偽の」アカウントは、人種的な目的で、ドナルド・トランプによる選挙キャンペーンで開始されたポリシーに有利な、大規模かつ一夜にして数万の「投稿」を開始したことが発見されました。

是正措置はどうなるのか

イタリアでは、コパシルとさまざまな議会グループが政権を握る政府に対して行う明確化の要請の後、共和国大統領セルジオ・マタレラに対するロシアのトロールによる疑惑のウェブ攻撃を明確にするのはローマの検察官次第です。 来週の最初の数日で、調査ファイルが正式に発表されます。このファイルは、テロ対策、特に国家人格に対する犯罪を扱う裁判官のプールによって調整されます。 郵便警察からの最初の報告は、クロディオ広場で期待されています。 調査ファイルを登録するための犯罪プロファイルは、情報の分析後に行政官によって評価されます。 その間、Copasirもこの問題に対処し、DisのディレクターであるAlessandroPansaのヒアリングを行います。 民主党の上院議員であり、CopasirのメンバーであるErnesto Magornoは、次のように述べています。 この話は、サイバーセキュリティが努力とスキルを集中するための大きな問題であるという事実を私たちにさらに認識させます。

したがって、イタリアはサイバー攻撃を受けていますか? 

AGIの報告によると、Z-Labの研究者が発見したことに基づいて、 Cse Cybsec、イタリアのサイバーセキュリティ会社、それはイエスと答えることができるようです。 イタリアは、ロシアのグループによるスパイ活動と干渉キャンペーンの対象となるでしょう。

CSEの専門家は、実際、イタリアのネットワーク上のバックドア、つまり「バックドア」を特定しました。これは、攻撃を受けているシステムの防御をバイパスするために使用され、悪名高いX-Agentバックドアの新しいバリアントとして特定されました。 ロシアの民兵グループであるAPT28の兵器庫の一部であるバックドアは、Windowsシステムをターゲットにするために使用され、侵害されたコンピューターからデータを盗み出し、アジアにあるコマンドアンドコントロールセンターに送信することができます。

ロシアのハッカーにつながる証拠は異なります。バックドアを運ぶウイルスが書かれている言語、それが生成するトラフィックの宛先、脅威の種類、X-Agent、長い間APT 28を所有していた、ロシアの軍事情報にリンクされたハッカーグループ。

CSEとイタリア海軍の調査

オンラインのウイルスおよびマルウェア分析プラットフォームであるVirusTotalに送信された悪意のあるソフトウェアのサンプルに対する定期的な調査によって開始された、CSE調査は、TwitterでDrunkBinaryとして知られている研究者の助けを借りて許可されました。それを一連のサンプルと比較し、さらなる調査のために当局に報告し、 関係で マルウェアの進行中のアクションを識別するために使用される、いわゆる「ヤラルール」が付属しています。 しかし、専門家は、他の悪意のあるコード、DLL、ソフトウェアの動的ライブラリも分析しました。これは、コンピューターのタスクが実行されると自動的にロードされます。

前の例とは一見無関係に見えますが、ロシアのグループが所有する他のサイバー兵器と多くの類似点があります。 この場合、マルウェアは「marina-info.net」という名前のコマンドおよび制御サーバーに接続します。CSECybsecのチーフテクノロジストであるPierluigi Paganiniは、次のように述べています。「攻撃者のロジックを採用すると、イタリア海軍とその悪意のあるコードが、海軍またはそのサプライヤーなど、それに関連する他のエンティティに対する一連の標的型攻撃の一部として開発されたという仮説をテストすることを勧めます。」

CSE Cybsecの研究者は、悪意のあるDLLファイルをX-Agent標本に直接リンクすることはできませんでしたが、どちらもZ-Labが「OperationVacations」と呼んでいるAPT28を利用した適切に調整された外科的攻撃の一部であると考えています。ロマーネ」は、夏にイタリアの組織に影響を与える可能性があるためです。

実際、APT28グループは2007年から活動しており、政府、軍隊、治安機関を対象としています。 しかし、何よりも、APT28は、ヒラリークリントンの電子メールの盗難に関与したことで、世界で最も有名なハッカーグループのXNUMXつであり、ジェームズコミーのFBIは、米国大統領選挙の直前に調査を行い、ドナルドトランプ候補への道を開いた。 。

Advanced Persistent Threath番号28の略語であるAPT28は、使用されている手法にちなんで名付けられました。「Advanced Persistent Threat」は、サーバーやシステムにインストールされた後も監視を実行するためにそこにとどまるサイバー脅威の一種です。一般的にスパイ活動を目的としたデータの漏えい。

Sofacy、Fancy Bear、Pawn Storm、Sednit、Stronzioとしても知られる、よく組織され資金提供されたグループは、ここ数か月、アジアと中東のPaloaltoネットワークとKasperskyLabによって運営されていると報告されており、 NATOとウクライナの通常の目標から離れた。 しかし、Z-Labによって発見された証拠に基づくと、おそらくこれはもはや当てはまりません。

サイバー攻撃下のイタリア、「#MattarellaDimettiti」、舞台裏でのAPT28のロシア人?