Due campagne di spear phishing nell’industria Oil & Gas

di Fabrizio Castagnotto

Recentemente scoperte dai ricercatori di Bitdefender, rivelano un nuovo interesse dei criminali informatici verso questo settore

I ricercatori di Bitdefender hanno recentemente scoperto due nuove campagne di spear phishing, in cui un mittente apparentemente attendibile impersona nel primo caso la compagnia petrolifera statale egiziana mentre nel secondo una società di spedizioni; in realtà, entrambe infettano vittime ignare con il Trojan spyware Agente Tesla, che per la prima volta colpisce il settore Oil & Gas.

Questi attacchi rivelano ancora una volta la natura opportunista che muove i criminali informatici. Nelle ultime settimane infatti, il settore dell’industria del petrolio e del gas è stato notevolmente sotto pressione: la pandemia di COVID-19 ha avuto un impatto anche sulla domanda di petrolio. I prezzi al barile sono scesi di oltre la metà, il livello più basso dal 2002. Tuttavia, la faida tra Russia e Arabia Saudita legata alle quote per la produzione di petrolio ha recentemente visto il raggiungimento di un accordo durante l’incontro tra l’alleanza OPEC+ e il Gruppo delle 20 nazioni, concordando di tagliare la produzione di petrolio e di equilibrare i prezzi.

Il Trojan spyware Agente Tesla è in circolazione dal 2014, ma ha subito costanti miglioramenti e aggiornamenti che gli consentono ancora oggi di essere pericoloso. Opera come un malware-as-a-service, e i suoi sviluppatori offrono vari livelli di prezzo basati su diversi modelli di licenza. Alcune delle sue capacità più conosciute comprendono funzionalità di form-grabbing e keylogging, tecniche di evasione furtive, persistenti e di sicurezza che gli consentono di estrarre credenziali di accesso, copiare dati ed eseguire screen capture.

Una campagna di spear phishing accuratamente realizzata Nella prima campagna scoperta il 31 marzo dai ricercatori di Bitdefender, i criminali informatici impersonano la compagnia petrolifera statale egiziana (Enppi – Engineering for Petroleum and Process Industries), nota per la sua esperienza in progetti onshore e offshore nel settore petrolifero e del gas, abusando della sua reputazione per colpire le vittime. In dettaglio, il mittente dietro cui si cela l’attaccante, invia una email al destinatario invitandolo a presentare un’offerta per attrezzature e materiali, nell’ambito di un progetto realmente esistente (Rosetta Sharing Facilities Project) per conto di una nota società di gas (Burullus). Mentre l’email è costruita in ogni dettaglio per sembrare legittima e contiene una scadenza per la presentazione di un’offerta con la richiesta di una cauzione, i documenti allegati, che dovrebbero contenere una lista di materiali e attrezzature richieste, sono invece predisposti per distribuire il Trojan spyware Agent Tesla.

Il profilo delle vittime Analizzando il profilo delle vittime colpite, Bitdefender ha individuato prevalentemente aziende del settore energetico dislocate in Malesia, Stati Uniti, Iran, Sud Africa, Oman e Turchia. Tra i Paesi Europei invece: Italia, Francia e Germania.

Spear phishing: informazioni legittime e linguaggio specifico per trarre in inganno i destinatari Sebbene quello del 31 marzo sembrasse essere stato un evento isolato, altre email simili – con lo stesso Agente Tesla, sono state nuovamente segnalate il 12 Aprile. In questa seconda campagna il mittente, impersonando una compagnia di spedizione, ha utilizzo informazioni veritiere relative a una petroliera e impiegato linguaggio gergale specifico per rendere credibile l’email e colpire le sue vittime nelle Filippine. Ciò dimostra che gli aggressori hanno una chiara comprensione del profilo dei loro obiettivi e usano un linguaggio e informazioni pertinenti per sembrare credibili, ingannare i destinatari e spingerli ad aprire l’allegato infetto.

Evoluzione globale degli attacchi informatici nel settore dell’energia Se nelle ultime due settimane il settore del petrolio e del gas potrebbe essere stato di particolare interesse per i criminali informatici, il numero di segnalazioni di malware rivolte con l’industria energetica ha registrato un aumento dall’inizio del 2020.

A partire dall’ottobre 2019, l’evoluzione globale degli attacchi informatici sull’industria energetica è aumentata costantemente su base mensile, con un picco nel febbraio 2020. Con oltre 5.000 segnalazioni di malware provenienti da aziende che operano nel settore dell’energia, i criminali informatici sembrano adesso essersi interessati a questo settore verticale diventato più strategico alla luce delle recenti fluttuazioni del prezzo del petrolio.

Ulteriori dettagli disponibili qui 

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)