TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

22/11/2019 10:18:34 - Operazione People1 - Orziveccho: i retroscena dell'attacco di spionaggio che ha subito la pubblica amministrazione italiana

Italiano  Inglese

       

week42

 



Il 22 novembre 2019 la Polizia di Stato ha arrestato il cyber-criminale che si celava dietro l’operazione “Orziveccho” ribattezzata dal CNAIPIC “PEOPLE1”.

L’operazione “Orziveccho” era stata identificata per la prima volta da TG Soft tra sabato 4 e martedì 7 marzo 2017, quando più attacchi di spear-phishing avevano colpito i servizi di anagrafe di molti comuni italiani.

TG Soft in data 06/03/2017 pubblicava la news: “Operazione Orziveccho: Comuni d'Italia SOTTO ATTACCO !!!  Massiva diffusione di email di spear phishing contro i comuni italiani.”, dove veniva indicato il modus operandi utilizzato dal cyber-criminale per infettare i comuni italiani.



TG Soft ha scelto come nome di questa operazione “ORZIVECCHO”, perché era una parte del nome del dominio da cui veniva scaricato il malware: www.scuolaelementarediorziveccho.191.it, dominio che veniva già utilizzato per scopi criminali dal 2013.

Questo dominio doveva essere assegnato alla scuola elementare del comune di Orzivecchi, ma per un errore di battitura è stato registrato come “orziveccho” invece di “orzivecchi” e per questo motivo è stato abbandonato, ma utilizzato invece dal cyber-criminale per i propri scopi.

Orziveccho utilizzava un programma di assistenza remota, attraverso il quale installava un keylogger per rubare le credenziali di accesso dei dipendenti comunali per accedere ai portali della pubblica amministrazione. La maggior parte delle vittime sono stati piccoli comuni, ma oltre a questi possiamo annoverare anche i patronati del CAF, banche dati dell’Agenzia delle Entrate, INPS, INAIL, ACI ed InfoCamere.
 
 


Il cyber-criminale ha utilizzato diverse campagne di spear-phishing realizzate ai danni dei comuni italiani a partire dal 2013 e spiando la pubblica amministrazione per circa 7 anni. Il Centro Ricerche Anti-Malware di TG Soft ha stimato, che non meno del 10% dei Comuni Italiani è stato colpito da questo Malware-Spia.

Dal 2013 il cyber-criminale di “Orziveccho” ha iniziato ad utilizzare keylogger commerciali per le sue operazioni di spionaggio, fino ad arrivare ad ingaggiare veri esperti di cyber security per la realizzazione di RAT e keylogger.



Lo scopo di “Orziveccho” era di esfiltrare dati anagrafici, posizioni contributive e di previdenza sociale di ignari italiani e società, per poi essere rivendute ad agenzie di investigazione attraverso il portale “People1.info” situato in Russia.

TG Soft ha declassificato le informazioni riservate sull'operazione Orziveccho (aka PEOPLE1).

Scarica il rapporto completo in PDF dell'operazione PEOPLE1-Orziveccho:



Torna ad inizio pagina


C.R.A.M. 
Centro Ricerche Anti-Malware di TG Soft 

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283