Eventi 2017
Sicurezza
 

09/01/2017

Share    

Attacchi contro le aziende: tutto il giorno, tutti i giorni

Con rootkit che lavorano in autonomia propagandosi nella rete colpita senza collegamenti esterni, gli attacchi informatici ‘persistenti’ sono generalmente scoperti dopo tre mesi, ma possono anche volerci anni.

Quanto riportato nella prima settimana di dicembre dai media di tutto il mondo sull’attacco subito da ThyssenKrupp conferma le rilevazioni dei G DATA Security Labs: se ben congeniato un attacco informatico mirato di tipo ‘persistente’ può passare inosservato per oltre tre mesi. L’attacco hacker sapientemente progettato e sferrato già nel febbraio di quest’anno è stato scoperto dal dipartimento CERT (Cyber Emergency Response Team) del famoso Gruppo industriale solamente in aprile. Gli aggressori avevano cercato di ottenere un punto di accesso permanente alla rete aziendale. Considerando il periodo medio in cui un attacco mirato resta celato, il reparto di sicurezza della ThyssenKrupp è stato relativamente veloce nel rilevarlo. Esempi passati mostrano che, in determinate circostanze, malware spia progettati per colpire un obiettivo specifico possono passare inosservati addirittura per diversi anni, come è successo frequentemente nel caso degli attacchi effettuati attraverso Uroburos.

Anatomia di un attacco mirato
Un attacco mirato di solito segue un certo schema. Dapprima gli aggressori raccolgono informazioni sul loro obiettivo. In base alle informazioni raccolte formulano una strategia per accedere alla rete, che contempla diverse metodologie, da malware prodotto ad hoc all’ingegneria sociale. Una volta ottenuto l’accesso, i criminali cercano di estendere la portata dell’attacco incrementando il numero di sistemi alla propria mercè. Identificati i dati di proprio interesse, gli aggressori passano alla fase ‘estrattiva’ ossia al vero e proprio furto di dati e segreti aziendali. Non ci è dato conoscere al momento il livello di sofisticazione dell’applicazione back-door impiegata presso ThyssenKrupp. Va sottolineato, tuttavia, che non tutti gli strumenti per lo spionaggio sono costituiti da componenti sviluppate ad hoc. I criminali si avvalgono spesso di strumenti già esistenti per risparmiare in un certo qual modo sui costi di realizzazione dell’attacco, definito dai media ‘sofisticato’. Le grandi aziende non sono l’unico obiettivo Una statistica prodotta da GE Capital indica che circa il 44% dei brevetti europei registrati sono di proprietà di aziende tedesche di medie dimensioni. Non meraviglia quindi che anche queste società rappresentino obiettivi appetibili per i cybercriminali. Secondo l’Ufficio federale tedesco per la Sicurezza Informatica (BSI), il 58% delle aziende pubbliche e private sul territorio di quel Paese ha già subito attacchi contro i rispettivi sistemi IT e di comunicazione. In Italia la percentuale di aziende colpite da attacchi mirati cresce di due cifre anno su anno, un incremento forse favorito dall’ingente numero di macchine zombie presenti sul nostro territorio, di cui i cybercriminali possono servirsi indisturbati per sferrare i propri attacchi.

Uno sguardo al passato: il caso Uroburos
Nel 2014, gli esperti di sicurezza di G DATA avevano rilevato e analizzato un malware altamente sofisticato e complesso, progettato per rubare dati provenienti da reti di alto profilo come quelle di agenzie governative, servizi informativi e grandi aziende. Il rootkit Uroburos lavora in autonomia e si propaga nella rete colpita senza richiedere un ulteriore intervento da parte dei criminali; in questo modo è persino riuscito a infettare macchine prive di connessione Internet. G DATA è giunta alla conclusione che un malware di questo livello non possa che essere stato realizzato esclusivamente con forti investimenti infrastrutturali e da personale altamente specializzato. Il design e il livello di complessità di questo malware fecero supporre che lo stesso fosse stato sviluppato in ambienti di intelligence; la stessa analisi rivelò inoltre come tale iniziativa probabilmente abbia avuto origine russe. Questo malware di natura persistente era passato del tutto inosservato fino all’identificazione da parte dei G DATA Security Labs Attacco sofisticato: definizione distorta Da Uroburos alla maggior parte degli attacchi sviluppati per raggiungere un obiettivo specifico, fino al malware utilizzato per colpire utenti in massa, cosa si intende oggi con il concetto di ‘sofisticato’? I più in questo contesto associano tale termine a una intensa attività di sviluppo degli strumenti impiegati per l’attacco, ma molto spesso ciò non corrisponde alla realtà. Gli aggressori, naturalmente, fanno di tutto per nascondere le proprie reali intenzioni. A tal fine, gli autori di malware dispongono di tutta una serie di strumenti. Uno tra i metodi impiegati più di frequente è quello di offuscare il codice. Avvalersi di programmi di criptazione e offuscamento del codice consente agli autori di tali malware di riciclarne parti a piacimento, senza dover necessariamente riscrivere l’intero codice. L’offuscamento è una pratica che rende la vita di un analista un po’ più difficile, poiché di primo acchito si confronta con un pasticcio di caratteri tutto da ‘spulciare’, cosa che spesso richiede una lavorazione semi-artigianale, poiché non sempre è possibile infatti automatizzare tale processo. Per dirla in termini più provocatori: grazie all’offuscamento e alla cifratura, gli sviluppatori di malware possono prendersela comoda. Una pigrizia che ha anche un senso in termini squisitamente economici: riscrivere e testare un nuovo codice costa tempo e denaro, nessun criminale li investirà se può attingere a uno strumento già pronto all’uso. Questo approccio è quanto i G DATA Security Labs rilevano nella stragrande maggioranza dei malware. Parlando di costi di realizzazione, anche produrre minacce ‘0-day’ richiede forti investimenti e i criminali vi ricorrono esclusivamente se imprescindibili per il successo della campagna di attacchi progettata. Pur presentandosi meno spesso di eventuali rimaneggiamenti di vecchi exploit o malware, le aziende dovrebbero comunque proteggersi opportunamente. Chi si aspetta un offuscamento su più livelli, compressione e altri meccanismi avanzati di ‘protezione’ del codice in un malware sviluppato ad hoc resterà invece deluso. La vera sfida nell’analisi di malware concepiti ‘su misura’, quindi accuratamente sviluppati, è la completa assenza di tali caratteristiche, cosa che costringe gli analisti a modificare in toto le metodologie di analisi dell’applicazione fraudolenta.

Criteri troppo blandi e altre metriche
Il concetto di ‘sofisticato’ o ‘altamente sviluppato’ è un criterio fin troppo blando e decisamente inflazionato per caratterizzare un malware. Ciò che generalmente viene considerato, se non definito, come ‘sofisticato’ sono applicazioni fraudolente spesso di fattura piuttosto grezza e costituite da diversi componenti reperibili ‘off the shelf’ nel dark web. Ovviamente ciò non significa che tali malware siano scontati e innocui, al contrario, come già visto più volte, ransomware datati e di pessima qualità cagionano notevolissimi danni. Ecco perché è importante non confondere persistenza con sofisticazione, specie qualora si rilevi che un trojan usato come back-door (RAT – remote access trojan) ha agito nella rete in modo impercettibile per un periodo di tempo prolungato, come nel caso di ThyssenKrupp.

 

TORNA INDIETRO >>