Previous Page  73 / 100 Next Page
Information
Show Menu
Previous Page 73 / 100 Next Page
Page Background

71

novembre-dicembre 2016

Uno sguardo al passato: il caso Uroburos

Nel 2014, gli esperti di sicurezza di G DATA aveva-

no rilevato e analizzato un malware altamente so-

fisticato e complesso, progettato per rubare dati

provenienti da reti di alto profilo come quelle di

agenzie governative, servizi informativi e grandi

aziende. Il rootkit Uroburos lavora in autonomia e

si propaga nella rete colpita senza richiedere un ul-

teriore intervento da parte dei criminali; in questo

modo è persino riuscito a infettare macchine prive

di connessione Internet.

G DATA è giunta alla conclusione che un malware di

questo livello non possa che essere stato realizzato

esclusivamente con forti investimenti infrastrutturali

e da personale altamente specializzato. Il design e

il livello di complessità di questo malware fecero

supporre che lo stesso fosse stato sviluppato in

ambienti di intelligence; la stessa analisi rivelò inol-

tre come tale iniziativa probabilmente abbia avuto

origine russe.

Questo malware di natura persistente era passato

del tutto inosservato fino all’identificazione da par-

te dei G DATA Security Labs

Attacco sofisticato: definizione distorta

Da Uroburos alla maggior parte degli attacchi svi-

luppati per raggiungere un obiettivo specifico, fino

al malware utilizzato per colpire utenti in massa,

cosa si intende oggi con il concetto di ‘sofisticato’?

I più in questo contesto associano tale termine a

una intensa attività di sviluppo degli strumenti im-

piegati per l’attacco, ma molto spesso ciò non cor-

risponde alla realtà.

Gli aggressori, naturalmente, fanno di tutto per na-

scondere le proprie reali intenzioni. A tal fine, gli

autori di malware dispongono di tutta una serie

di strumenti. Uno tra i metodi impiegati più di fre-

quente è quello di o‰uscare il codice. Avvalersi di

programmi di criptazione e o‰uscamento del codi-

ce consente agli autori di tali malware di riciclarne

parti a piacimento, senza dover necessariamente

riscrivere l’intero codice.

L’o‰uscamento è una pratica che rende la vita di un

analista un po’ più di“cile, poiché di primo acchito

si confronta con un pasticcio di caratteri tutto da

‘spulciare’, cosa che spesso richiede una lavorazio-

ne semi-artigianale, poiché non sempre è possibile

infatti automatizzare tale processo.

Per dirla in termini più provocatori: grazie all’o‰u-

scamento e alla cifratura, gli sviluppatori di malware

possono prendersela comoda. Una pigrizia che ha

anche un senso in termini squisitamente economici:

riscrivere e testare un nuovo codice costa tempo e

denaro, nessun criminale li investirà se può attingere

a uno strumento già pronto all’uso. Questo approc-

cio è quanto i G DATA Security Labs rilevano nella

stragrande maggioranza dei malware.

Parlando di costi di realizzazione, anche produrre

minacce ‘0-day’ richiede forti investimenti e i crimi-

nali vi ricorrono esclusivamente se imprescindibili

per il successo della campagna di attacchi proget-

tata. Pur presentandosi meno spesso di eventuali

rimaneggiamenti di vecchi exploit o malware, le

aziende dovrebbero comunque proteggersi oppor-

tunamente. Chi si aspetta un o‰uscamento su più

livelli, compressione e altri meccanismi avanzati di

‘protezione’ del codice in un malware sviluppato

ad hoc resterà invece deluso. La vera sfida nell’a-

nalisi di malware concepiti ‘su misura’, quindi ac-

curatamente sviluppati, è la completa assenza di

tali caratteristiche, cosa che costringe gli analisti a

modificare in toto le metodologie di analisi dell’ap-

plicazione fraudolenta.

Criteri troppo blandi e altre metriche

Il concetto di ‘sofisticato’ o ‘altamente sviluppato’

è un criterio fin troppo blando e decisamente infla-

zionato per caratterizzare un malware. Ciò che ge-

neralmente viene considerato, se non definito, come

‘sofisticato’ sono applicazioni fraudolente spesso

di fattura piuttosto grezza e costituite da diversi

componenti reperibili ‘o‰ the shelf’ nel dark web.

Ovviamente ciò non significa che tali malware siano

scontati e innocui, al contrario, come già visto più

volte, ransomware datati e di pessima qualità cagio-

nano notevolissimi danni. Ecco perché è importan-

te non confondere persistenza con sofisticazione,

specie qualora si rilevi che un trojan usato come

back-door (RAT – remote access trojan) ha agito

nella rete in modo impercettibile per un periodo di

tempo prolungato, come nel caso di ThyssenKrupp.

SICUREZZA

© leowolfert - fotolia.com