L’aviazione e altri settori strategici sono sotto la minaccia di un cybercriminale che oggi ha un nome in codice: TA2541. Ad averlo individuato con chiarezza e battezzato così è la Proofpoint, società specializzata in sicurezza informatica con sede a Sunnyvale, in California, e che nel 2021 ha dichiarato un fatturato di 1,13 miliardi di dollari.
TA2541 agisce dal 2017 prendendo di mira, oltre all’aviazione, anche trasporti, viaggi e campi affini ed è stato oggetto di studio anche da parte di altre grandi aziende del settore informatico sin dal 2019 come Cisco Talos, Morphisec, Microsoft, Mandiant e anche altri ricercatori indipendenti. Da tali indagini emergono strategie di comportamento simili a quelle individuate da Proofpoint. Questo ha permesso all’azienda americana di tracciare il profilo di TA2541 e di costituire un dossier dedicato, composto da dati sia pubblici sia privati.
TA2541 utilizza trojan di access remoto, definiti in gergo Rat (Remote Access Trojan) che, una volta inseritisi nel computer, permettono all’hacker di controllarlo a distanza. Per farlo, utilizza allegati di Microsoft carichi di macro che poi fungono da ‘cavallo di Troia’ per scaricare il software maligno. Più recentemente si è servito di messaggi con collegamenti a servizi in cloud, come Google Drive, dai quali poi provengono i dati del malware. Proofpoint non va per il sottile e in un nota giudica TA2541 un cybercriminale, per l’uso di malware commodity specifico, per l’ampiezza degli obiettivi da lui colpiti e presi di mira, per il volume di messaggi lanciati e per la raffinatezza dell’infrastruttura di comando e di controllo dedicata a tale attività.
La specificità di TA2541 è di non usare eventi, argomenti o notizie di attualità o tendenza per ingannare i propri destinatari. In quasi tutte le proprie campagne l’hacker invece fa leva su temi che si riferiscono al trasporto, ai voli, agli aerei, al carburante, agli yacht, ai charter e altro ancora. Sono state rilevate email esca che si riferivano a componenti di aerei o a dettagli su voli sanitari. Nella primavera del 2020 ha anche sfruttato il traino di argomenti creato dalla pandemia da Covid-19, ma sempre facendo riferimento al trasporto come voli cargo, informazioni di volo e spedizioni di dispositivi di protezione o kit per test per verificare la positività.
Nella primavera del 2020, TA2541 ha brevemente sfruttato argomenti legati a COVID-19, ma coerenti alle tematiche generali di voli cargo e informazioni di volo. Ad esempio, ha distribuito esche associate a spedizioni cargo di dispositivi di protezione individuale o kit di test COVID-19. La sua attività è definita “persistente e continua da gennaio 2017” e le sue campagne prevedono invii di migliaia di messaggi, quasi sempre in lingue inglese, a volte anche oltre 10mila, che hanno un impatto su centinaia di organizzazioni globali in Nordamerica, Europa e Medio Oriente che operano in settori strategici come aviazione, industria aerospaziale, trasporti, produzione e difesa.
Le informazioni e le prove raccolte da Proofpoint aiuteranno sicuramente i potenziali obiettivi a difendersi ed alle polizie informatiche di smascherare l’autore – o gli autori – che da oggi è identificato come TA2541.