Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Alcuni punti poco chiari nel report Mandiant su APT42

L’ultimo importante report su APT42 vuole offrire dettagli su attribuzioni di questo gruppo di cyber spionaggio. Tuttavia esperti di settore sollevano alcune critiche su alcuni punti poco chiari, riguardo certi collegamenti effettuati

La nota società di sicurezza informatica Mandiant, prima FireEye Mandiant, e prima ancora nuovamente Mandiant, ha pubblicato un report completo sull’APT 42 iraniano, descrivendo in breve gli attacchi commessi da un gruppo di hacker negli anni passati.

Alcuni esperti però evidenziano questo report come realizzato utilizzando superficialmente TTP (tattiche, tecniche e procedure) e legando stranamente questo gruppo alla diffusione di ransomware.

Chiaramente non si contesta l’intera analisi, anzi per una comprensione accurata, è necessario effettuarne una attenta lettura (PDF disponibile qui). L’intenzione di questo mio articolo è quella di evidenziarne le critiche avanzate.

In primo luogo, i ricercatori stabiliscono collegamenti tra l’APT 42 descritto e il piuttosto noto e vecchio APT 35 alias Charming Kitten, alias TA453, alias Phosphorus. Allo stesso tempo, si sostiene che entrambi lavorino per l’IRGC iraniano. Quindi attribuzione assente.

Ciò non significa che l’APT 42 non viva effettivamente sotto il controllo dell’IRGC. Ciò significa però che non c’è attribuzione, ma solo un collegamento.

In secondo luogo, segnalando questo collegamento, fanno riferimento ai dati Microsoft, secondo cui UNC2448 (altro attore monitorato da Mandiant) e Phosphorus sono lo stesso gruppo e sono coinvolti, tra l’altro, nella diffusione di ransomware. Allo stesso tempo, viene fatto un disclaimer secondo cui gli stessi ricercatori di Mandiant non vedono alcun segno tecnico di somiglianza tra UNC2448 e APT 42, ma “presumono che quest’ultimo possa funzionare anche sotto il controllo dell’IRGC”. Ancora zero attribuzione, solo collegamenti ad alcuni canali Telegram.

Che l’IRGC stia distribuendo ransomware, non è una grande nuova scoperta, non è la prima volta che viene ricondotto a questo genere di attività.

Quindi chi solleva delle critiche su questa analisi si chiede quale importante novità dovrebbe emergere da questo report di ricerca? Non è chiaro e sicuramente offre diversi spunti di riflessione, tuttavia allo stesso tempo instilla alcuni dubbi ancora non colmati.