Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

Orso nell’Oleodotto: Hacker Russi Prendono di Mira il Colosso Petrolifero Kazako

Un oscuro gruppo di cyber-spionaggio soprannominato "Noisy Bear" ha lanciato un attacco furtivo contro la più grande compagnia petrolifera del Kazakistan, facendo scattare l’allarme nel settore energetico dell’Asia Centrale.

In Breve

  • Noisy Bear è un gruppo di hacker di recente identificazione, collegato alla Russia e attivo almeno da aprile.
  • Il gruppo ha preso di mira KazMunayGas (KMG), il colosso statale kazako del petrolio e del gas.
  • Gli aggressori hanno utilizzato email di phishing e un loader malware basato su PowerShell chiamato "DownShell".
  • Le prove indicano un vero caso di spionaggio, nonostante le dichiarazioni di KMG su un’esercitazione di sicurezza.
  • L’infrastruttura dell’attacco è collegata a provider russi di hosting bulletproof sanzionati.

Anatomia di un Colpo Moderno al Settore Petrolifero

Immaginate un impero petrolifero sconfinato, i suoi corridoi digitali brulicanti di dati sensibili e miliardi in gioco. In questo mondo si è insinuato "Noisy Bear", una crew di hacker collegata alla Russia, scatenando una campagna di inganni digitali contro KazMunayGas, il gioiello del settore petrolifero e del gas del Kazakistan. L’attacco è iniziato in modo apparentemente innocuo: un’email è arrivata nelle caselle dei dipendenti, camuffata da normale comunicazione delle risorse umane, ma intrisa di urgenza e con una trappola nascosta.

Il phishing, l’equivalente digitale della stretta di mano di un truffatore, è stato la prima mossa. Gli aggressori hanno dirottato l’email di un dipendente della finanza per inviare un file zip, contenente un collegamento apparentemente innocuo chiamato "Salary Schedule". Un clic e si è innescata silenziosamente una reazione a catena: uno script scaricato, un loader nascosto e infine una backdoor per gli hacker - come un tunnel segreto scavato sotto i caveau digitali dell’azienda.

Dentro la Cassetta degli Attrezzi di Noisy Bear

Il cuore tecnico dell’attacco era "DownShell", uno script PowerShell in due parti. Prima ha disattivato il "buttafuori" della sicurezza di Windows, AMSI, ingannando il sistema facendogli credere che le sue difese fossero inattive. Poi, usando una tecnica chiamata CreateRemoteThread Injection, il malware ha inserito il proprio codice in un processo legittimo di Windows - nascondendosi in piena vista, come un ladro che si confonde tra la folla. Questo ha permesso a Noisy Bear di aprire una "reverse shell", ottenendo il controllo occulto del computer infetto.

I ricercatori di Seqrite Labs hanno ricondotto l’operazione a un hosting bulletproof russo - un noto rifugio sicuro per i cybercriminali. L’infrastruttura e le tattiche mostravano sovrapposizioni con altri attacchi in Asia Centrale, suggerendo una campagna più ampia e coordinata.

Spionaggio o Esercitazione? Le Correnti Geopolitiche Sotterranee

KazMunayGas ha insistito che si trattasse solo di una simulazione, un normale test di sicurezza. Ma gli esperti restano scettici. Seqrite Labs fa notare che le vere esercitazioni di solito non finiscono nei repository pubblici di malware, né si affidano a infrastrutture legate al cybercrimine russo. Le prove fanno pensare al classico spionaggio: una mossa strategica della Russia per mantenere l’influenza nel settore energetico critico dell’Asia Centrale, proprio mentre l’Europa cerca alternative al gas russo in un clima geopolitico sempre più teso.

Non è la prima volta che gli hacker prendono di mira aziende petrolifere ed energetiche per ottenere informazioni e vantaggi. Dal sabotaggio delle centrifughe iraniane con Stuxnet agli attacchi APT contro Saudi Aramco, le infrastrutture energetiche restano un bersaglio privilegiato nella guerra fredda cibernetica globale. La campagna di Noisy Bear si inserisce in questo schema, sfruttando la fiducia umana e le falle tecniche per scardinare le difese digitali della regione.

Così come il petrolio scorre negli oleodotti sotto le steppe, anche correnti invisibili di dati - e di pericolo - si muovono sotto traccia. Nel mondo torbido del cyber-spionaggio, il confine tra test e attacco si fa labile, ma la posta in gioco per nazioni e industrie non è mai stata così alta.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o cliccare su link dannosi.
  • PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma spesso sfruttato dagli aggressori per azioni malevole in modo furtivo.
  • AMSI (Antimalware Scan Interface): AMSI è una funzione di Windows che permette ai software di sicurezza di analizzare e bloccare malware nascosti in script o applicazioni, migliorando la protezione del sistema.
  • CreateRemoteThread Injection: CreateRemoteThread Injection è una tecnica in cui il malware esegue segretamente il proprio codice all’interno di un programma legittimo, aiutandolo a sfuggire ai controlli di sicurezza.
  • Reverse Shell: Una reverse shell si verifica quando un computer compromesso si collega segretamente a un aggressore, consentendogli il controllo remoto e aggirando le difese di sicurezza standard.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news