Sidewinder, gruppo APT sospettato di attacchi contro l’esercito pakistano

Nuove analisi su campioni recenti di malware, riconducibili alla famiglia dell’APT Sidewinder, gruppo indiano che ha iniziato le attività nel 2012 e prende di mira istituzioni militari del Pakistan

Check Point Research afferma che il quartier generale dell’aeronautica militare pakistana è stato vittima di un attacco portato a termine con successo, riconducibile al gruppo APT filo-indiano Sidewinder.

Gruppo APT con sede in India attacca l’esercito del Pakistan

I ricercatori hanno scoperto che diversi campioni di malware e due file crittografati sono stati caricati su Virus Total nel maggio 2022.

Sulla base dei risultati della decrittazione (e del reverse engineering sui sample), è diventato chiaro che uno di questi è una DLL .NET associata ad APT Sidewinder, gruppo noto per prendere di mira le organizzazioni governative in Pakistan e Cina.

Il malware utilizzato nell’operazione di spionaggio divulgata viene utilizzato esclusivamente da questo APT e ruba file nei seguenti formati: docx, doc, xls, xlsx, pdf, ppt, pptx, rar e zip.

Un altro file da 2 MB era un registro di elaborazione del malware e conteneva un elenco di tutti i file rilevanti sul computer infetto (tree list).

Analizzando l’elenco presentato di oltre 20.000 nomi, i ricercatori di Check Point hanno concluso che la campagna informatica aveva una gamma abbastanza ampia di obiettivi: inclusi elementi nel campo dell’aviazione, comunicazioni, complessi nucleari, istruzione, elettricità, ecc.

Inoltre, alcuni dei percorsi dei fascicoli indicavano documenti riconducibili ai capi di stato maggiore congiunti delle forze armate pakistane.

Dai nomi di file e directory, l’analisi è stata in grado di determinare il nome degli account compromessi. Uno di questi AHQ-STRC3 si riferisce chiaramente alla designazione del quartier generale dell’aeronautica militare pakistana.

Considerando che il file di registro creato dal malware ha rivelato l’identità delle vittime, compresi i nomi di documenti e sistemi sensibili, l’attacco SideWinder può essere considerato un successo, come concordato ovviamente anche da una vittima già colpita, che si è vista appunto i dati esfiltrati e i computer infetti.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Vuoi commentare? Accendi la discussione

Torna in alto