L’ascesa di IntelBroker nel contesto cybercrime underground

Il profilo del cybercriminale IntelBroker si è andato definendo, nel corso delle ultime settimane, con una certa precisione.

Comparso sulle scene alla fine del 2022, in un’intervista pubblicata quest’anno su YouTube, l’uomo avrebbe dichiarato di essere serbo ma di risiedere in Russia per motivi di sicurezza operativa. In un’altra intervista, avrebbe recisamente negato il proprio coinvolgimento con gruppi APT iraniani, accusa che gli sarebbe stata rivolta dalle forze dell’ordine, le quali, a suo dire, si sarebbero limitate a rilevare somiglianze superficiali.

La notorietà, IntelBroker se l’è guadagnate a partire dal 2023, con la rivendicazione di compromissioni contro target di alto livello come Europol, il produttore di microchip AMD, Apple, il provider di software gestionali Acuity, General Electric, le telco T-Mobile e AT&T, Hewlett Packard Enterprise, Verizon e Volvo, oltre ad alcune agenzie governative. Molte di queste operazioni malevole sono state confermate direttamente dalle vittime.

I settori che ha preso di mira includono quelli tecnologico, finanziario, sanitario, logistico, dei trasporti, delle telecomunicazioni, governativo, della Difesa, automobilistico, manifatturiero, del retail, dell’istruzione e dei servizi professionali. I suoi target sono localizzati soprattutto negli USA, ma va considerato un interesse significativo per l’India, dovuto probabilmente alla rapida espansione digitale del Paese. Inoltre, IntelBroker ha effettuato incursioni anche nel Regno Unito, in Francia e Corea del Sud.

IntelBroker alla guida di BreachForum

Emerso sulla scena criminale come membro del gruppo black-hat CyberNiggers, la sua base storica è il forum underground BreachForum, di cui è diventato amministratore ad agosto di quest’anno.

La community è stata fondata nel 2022 dal diciannovenne Conor Brian Fitzpatrick, alias pompompurin. Dopo l’arresto di pompompurin, avvenuto nel marzo 2023, il comando è stato preso per qualche giorno da Baphomet, il quale ha deciso di chiudere i battenti per motivi di sicurezza. A brevissima distanza, Baphomet e il gruppo black-hat ShinyHunters hanno riattivato BreachForums, ma le autorità americane lo hanno sequestrato ancora per due volte, nel giugno 2023 e nel maggio 2024. In questa seconda occasione, l’arresto di Baphomet avrebbe aperto la strada al nuovo leader.

L’avvicendamento di IntelBroker alla guida di BreachForums ne avrebbe determinato un salto di livello notevole e anche un cambio di stile, con interessanti conseguenze. Il criminale, infatti, ha iniziato a pubblicare rivendicazioni corredate di elementi che possono far ipotizzare alcune tecniche di attacco e commenti ai post di altri utenti che ne evidenziano il ruolo di vertice.

Possibili tecniche di attacco

Per ottenere l’accesso iniziale, il criminale avrebbe sfruttato exploit di vulnerabilità in applicazioni rivolte al pubblico, tra cui CVE-2024-1597 di PostgreSQL e CVE-2024-23897 di Jenkins. Inoltre, avrebbe acquistato entry point, come ad esempio credenziali di accesso, da altri attaccanti. IntelBroker sembra avere una certa abilità nello scalare i privilegi all’interno dei sistemi compromessi e nel garantirsi un accesso prolungato. Infine, sarebbe in grado di fare movimento laterale e attività di ricognizione che gli consentirebbero di ampliare la portata delle violazioni.

Oltre ad esfiltrare dati sensibili, potrebbe aver utilizzato il ransomware Endurance, il cui codice sorgente è pubblicamente disponibile nel suo repository GitHub personale. Dato non trascurabile, Endurance agisce prevalentemente come wiper.

Un recente breach a catena

Secondo quanto si apprende dall’analisi di una società di sicurezza, una delle campagne più recenti di IntelBroker avrebbe impattato BORN Group, agenzia specializzata in soluzioni di marketing digitale globale. L’avversario avrebbe sfruttato la vulnerabilità CVE-2024-23897 su un server Jenkins esposto per accedere al repository GitHub della compagnia.

L’attacco supply chain avrebbe avuto fra le potenziali vittime secondarie, non confermate, realtà come Banca d’Irlanda, BTEC, Celcom, Delta Faucet, Frontier Saw Mills, Gourmet Egypt, Hitachi, Lindt Chocolate, Nestle, Reebok, 1stwave, TOPCON e Unilever.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence