71
novembre-dicembre 2016
Uno sguardo al passato: il caso Uroburos
Nel 2014, gli esperti di sicurezza di G DATA aveva-
no rilevato e analizzato un malware altamente so-
fisticato e complesso, progettato per rubare dati
provenienti da reti di alto profilo come quelle di
agenzie governative, servizi informativi e grandi
aziende. Il rootkit Uroburos lavora in autonomia e
si propaga nella rete colpita senza richiedere un ul-
teriore intervento da parte dei criminali; in questo
modo è persino riuscito a infettare macchine prive
di connessione Internet.
G DATA è giunta alla conclusione che un malware di
questo livello non possa che essere stato realizzato
esclusivamente con forti investimenti infrastrutturali
e da personale altamente specializzato. Il design e
il livello di complessità di questo malware fecero
supporre che lo stesso fosse stato sviluppato in
ambienti di intelligence; la stessa analisi rivelò inol-
tre come tale iniziativa probabilmente abbia avuto
origine russe.
Questo malware di natura persistente era passato
del tutto inosservato fino all’identificazione da par-
te dei G DATA Security Labs
Attacco sofisticato: definizione distorta
Da Uroburos alla maggior parte degli attacchi svi-
luppati per raggiungere un obiettivo specifico, fino
al malware utilizzato per colpire utenti in massa,
cosa si intende oggi con il concetto di ‘sofisticato’?
I più in questo contesto associano tale termine a
una intensa attività di sviluppo degli strumenti im-
piegati per l’attacco, ma molto spesso ciò non cor-
risponde alla realtà.
Gli aggressori, naturalmente, fanno di tutto per na-
scondere le proprie reali intenzioni. A tal fine, gli
autori di malware dispongono di tutta una serie
di strumenti. Uno tra i metodi impiegati più di fre-
quente è quello di ouscare il codice. Avvalersi di
programmi di criptazione e ouscamento del codi-
ce consente agli autori di tali malware di riciclarne
parti a piacimento, senza dover necessariamente
riscrivere l’intero codice.
L’ouscamento è una pratica che rende la vita di un
analista un po’ più dicile, poiché di primo acchito
si confronta con un pasticcio di caratteri tutto da
‘spulciare’, cosa che spesso richiede una lavorazio-
ne semi-artigianale, poiché non sempre è possibile
infatti automatizzare tale processo.
Per dirla in termini più provocatori: grazie all’ou-
scamento e alla cifratura, gli sviluppatori di malware
possono prendersela comoda. Una pigrizia che ha
anche un senso in termini squisitamente economici:
riscrivere e testare un nuovo codice costa tempo e
denaro, nessun criminale li investirà se può attingere
a uno strumento già pronto all’uso. Questo approc-
cio è quanto i G DATA Security Labs rilevano nella
stragrande maggioranza dei malware.
Parlando di costi di realizzazione, anche produrre
minacce ‘0-day’ richiede forti investimenti e i crimi-
nali vi ricorrono esclusivamente se imprescindibili
per il successo della campagna di attacchi proget-
tata. Pur presentandosi meno spesso di eventuali
rimaneggiamenti di vecchi exploit o malware, le
aziende dovrebbero comunque proteggersi oppor-
tunamente. Chi si aspetta un ouscamento su più
livelli, compressione e altri meccanismi avanzati di
‘protezione’ del codice in un malware sviluppato
ad hoc resterà invece deluso. La vera sfida nell’a-
nalisi di malware concepiti ‘su misura’, quindi ac-
curatamente sviluppati, è la completa assenza di
tali caratteristiche, cosa che costringe gli analisti a
modificare in toto le metodologie di analisi dell’ap-
plicazione fraudolenta.
Criteri troppo blandi e altre metriche
Il concetto di ‘sofisticato’ o ‘altamente sviluppato’
è un criterio fin troppo blando e decisamente infla-
zionato per caratterizzare un malware. Ciò che ge-
neralmente viene considerato, se non definito, come
‘sofisticato’ sono applicazioni fraudolente spesso
di fattura piuttosto grezza e costituite da diversi
componenti reperibili ‘o the shelf’ nel dark web.
Ovviamente ciò non significa che tali malware siano
scontati e innocui, al contrario, come già visto più
volte, ransomware datati e di pessima qualità cagio-
nano notevolissimi danni. Ecco perché è importan-
te non confondere persistenza con sofisticazione,
specie qualora si rilevi che un trojan usato come
back-door (RAT – remote access trojan) ha agito
nella rete in modo impercettibile per un periodo di
tempo prolungato, come nel caso di ThyssenKrupp.
SICUREZZA
© leowolfert - fotolia.com