Ad aprile intrusioni in Microsoft Office 365 imprese, 43% europee. Usati anche server 'contraffatti' di Adobe e Samsung
(di Andreana d'Aquino)-
Il nome era più che attendibile: Oxford University. Ma dietro c'era un bel gancio per gli hacker che, dopo avere contraffatto il server della prestigiosa università inglese, hanno così violato forse migliaia di imprese di mezzo mondo e fra queste ben il 43% europee. E' quanto hanno scoperto i ricercatori di Check Point Software Technologies che hanno reso noto un attacco cyber avvenuto ad aprile, con mezzo mondo in pieno lockdown, sferrato da cybercriminali nascosti dietro server contraffatti anche di Adobe e Samsung. "Gli hacker hanno lanciato una campagna progettata per raccogliere informazioni aziendali memorizzate negli account di Microsoft Office 365" hanno riferito i ricercatori di Check Point. Usando nomi sicuri e attendibili, i cybercriminali hanno così aggirato i filtri di sicurezza e sono penetrati nelle reti aziendali. I ricercatori di Check Point, che hanno prontamente avvertito l'Università di Oxford, Adobe e Samsung, hanno spiegato che gli hacker hanno dirottato il server di posta elettronica dell'ateneo inglese per inviare e-mail dannose alle vittime. In particolare, le e-mail contenevano link che reindirizzavano a un server Adobe, utilizzato da Samsung in passato, consentendo agli hacker di sfruttare la facciata di un dominio legittimo della multinazionale coreana per ingannare con successo le vittime che venivano così condotte in un falso percorso, con l’obiettivo di spingerle a condividere le credenziali di accesso di Office 365.
Tutto è partito quando nel pieno dell'emergenza coronavirus quando, in quasi tutti gli Stati, sono state chiuse industrie e aziende e trasferite online tutte le attività possibili. All'inizio di aprile 2020, i ricercatori di Check Point infatti hanno iniziato a ispezionare le e-mail inviate alle vittime dal titolo 'Office 365 Voice Mail'. In queste 'missive digitali' si sosteneva che un messaggio vocale era in attesa nella casella 'In arrivo' delle vittime e si invitava a cliccare su un pulsante che le avrebbe portate al loro account Office 365 per intraprendere ulteriori azioni. Ma una volta 'spinto il pulsante', le vittime erano state reindirizzate ad una pagina di phishing mascherata da pagina di login di Office 365. "Quella che all'inizio sembrava essere una classica campagna di phishing di Office 365, si è rivelata invece una strategia degna di nota: utilizzare brand rinomati per eludere i prodotti di sicurezza. E si tratta di una tecnica 'raffinata' per riuscire a far breccia all'interno di una rete aziendale" ha commentato David Gubiani, Regional Director Se Emea Southern di Check Point. Gubiani ha sottolineato che "l'accesso alla posta aziendale può consentire agli hacker un accesso illimitato alle operazioni di un'azienda, come ad esempio transazioni, report finanziari, invio di e-mail all'interno dell'azienda da una fonte affidabile, password e persino indirizzi delle risorse cloud di un'azienda".
Gli esperti di Check Point hanno rivelato che "per portare a termine l'attacco, l'hacker ha dovuto accedere ai server di Samsung e Oxford, il che significa che ha avuto il tempo di capire il loro funzionamento interno, permettendogli di passare inosservato". I ricercatori hanno sottolineano quindi che la maggior parte delle e-mail 'contraffatte' proveniva da molteplici indirizzi generati, appartenenti a sottodomini legittimi di vari dipartimenti dell'Università di Oxford. "Le intestazioni delle e-mail hanno mostrato che gli hacker hanno trovato un modo per sfruttare uno dei server Smtp- Simple mail transfer protocol di Oxford, un'applicazione che ha lo scopo primario di inviare, ricevere o inoltrare la posta in uscita tra mittenti e destinatari. L'uso di server Smtp Oxford legittimi, hanno riferito infine i ricercatori, "ha permesso agli hacker di superare il controllo della reputazione richiesto dalle misure di sicurezza per il dominio del mittente".
