Successivo
sfg-malware-fornitori-energia-elettrica

Security

Arriva il malware SFG che colpisce i fornitori di energia elettrica

Davide Micheli | 14 Luglio 2016

Sicurezza

L’azienda di sicurezza informatica SentinelOne ha individuato un nuovo tipo di malware – denominato SFG – concepito per attaccare i sistemi informatici dei fornitori di energia elettrica.

La nuova frontiera della guerra tra Stati passa per l’utilizzo di malware sviluppati da enti governativi. L’ultima scoperta, in questo senso, giunge dai ricercatori di SentinelOne, i quali, hanno individuato SFG, un nuovo tipo di minaccia che sembrerebbe concepita per andare a colpire i fornitori di energia elettrica, introducendosi all’interno dei sistemi informatici di queste importanti aziende.

Un’azienda operativa in Europa nel mercato dell’energia sarebbe già  stata colpita nel corso del mese di maggio, e ancora oggi, sarebbe alle prese con i problemi generati da SFG. Ma come agisce questo malware all’interno dei sistemi informatici di queste aziende? Secondo l’analisi di SentinelOne, si tratterebbe di una forma di minaccia molto sofisticata, sviluppata da developer con capacità  e abbondanza di strumenti di lavoro.

Classificato come dropper, SFG riesce ad introdursi in utenti particolari attivi in una rete, stabilendo in seguito una comunicazione verso chi controlla il malware: in questo modo, i responsabili dell’infezione possono inviare altro malware, per procedere al furto di informazioni riservate presenti nei sistemi dell’azienda presa di mira, o ancora, cercando di interferire sul funzionamento della rete che distribuisce l’energia elettrica.

SFG è stato realizzato affinché gli antivirus e i firewall più recenti non siano in grado di individuarlo: nelle prime fasi dell’infezione, si preoccupa di analizzare tutte le caratteristiche dell’ambiente in cui si è insediato, dopodiché, cerca di individuare la presenza eventuale di una sandbox (e in caso positivo si blocca) come del resto il tipo di sistemi contro i malware presenti sul sistema, adattando le sue azioni in funzione degli stessi.

In seguito, SFG sfrutta i dati raccolti per bloccare i processi che possano individuare la sua presenza e disabilita anche l’update dei software anti-malware, cambiando l’IP dei server su 0.0.0.0 per poi collegarsi al sistema da cui è stato inviato, per comunicare tutte le informazioni raccolte.