Con rootkit che lavorano in autonomia propagandosi nella rete colpita senza collegamenti
esterni, gli attacchi informatici ‘persistenti’ sono generalmente scoperti dopo tre mesi,
ma possono anche volerci anni.
70
novembre-dicembre 2016
Q
uanto riportato nella prima settimana di dicem-
bre dai media di tutto il mondo sull’attacco su-
bito da ThyssenKrupp conferma le rilevazioni dei G
DATA Security Labs: se ben congeniato un attacco
informatico mirato di tipo ‘persistente’ può passare
inosservato per oltre tre mesi. L’attacco hacker sa-
pientemente progettato e sferrato già nel febbraio
di quest’anno è stato scoperto dal dipartimento
CERT (Cyber Emergency Response Team) del fa-
moso Gruppo industriale solamente in aprile. Gli
aggressori avevano cercato di ottenere un punto di
accesso permanente alla rete aziendale. Consideran-
do il periodo medio in cui un attacco mirato resta
celato, il reparto di sicurezza della ThyssenKrupp
è stato relativamente veloce nel rilevarlo.
Esempi passati mostrano che, in determinate cir-
costanze, malware spia progettati per colpire un
obiettivo specifico possono passare inosservati
addirittura per diversi anni, come è successo fre-
quentemente nel caso degli attacchi eettuati at-
traverso Uroburos.
Anatomia di un attacco mirato
Un attacco mirato di solito segue un certo schema.
Dapprima gli aggressori raccolgono informazioni
sul loro obiettivo. In base alle informazioni raccol-
te formulano una strategia per accedere alla rete,
che contempla diverse metodologie, da malware
prodotto ad hoc all’ingegneria sociale. Una volta
ottenuto l’accesso, i criminali cercano di estende-
ATTACCHI CONTRO
LE AZIENDE: TUTTO
IL GIORNO, TUTTI I GIORNI
A cura della redazione
re la portata dell’attacco incrementando il numero
di sistemi alla propria mercè. Identificati i dati di
proprio interesse, gli aggressori passano alla fase
‘estrattiva’ ossia al vero e proprio furto di dati e
segreti aziendali.
Non ci è dato conoscere al momento il livello di so-
fisticazione dell’applicazione back-door impiegata
presso ThyssenKrupp. Va sottolineato, tuttavia, che
non tutti gli strumenti per lo spionaggio sono co-
stituiti da componenti sviluppate ad hoc. I criminali
si avvalgono spesso di strumenti già esistenti per
risparmiare in un certo qual modo sui costi di realiz-
zazione dell’attacco, definito dai media ‘sofisticato’.
Le grandi aziende non sono l’unico obiettivo
Una statistica prodotta da GE Capital indica che
circa il 44% dei brevetti europei registrati sono di
proprietà di aziende tedesche di medie dimensioni.
Non meraviglia quindi che anche queste società rap-
presentino obiettivi appetibili per i cybercriminali.
Secondo l’Ucio federale tedesco per la Sicurezza
Informatica (BSI), il 58% delle aziende pubbliche
e private sul territorio di quel Paese ha già subito
attacchi contro i rispettivi sistemi IT e di comuni-
cazione. In Italia la percentuale di aziende colpite
da attacchi mirati cresce di due cifre anno su anno,
un incremento forse favorito dall’ingente numero
di macchine zombie presenti sul nostro territorio,
di cui i cybercriminali possono servirsi indisturbati
per sferrare i propri attacchi.
SICUREZZA