Kaspersky Security Bulletin 2014. L’evoluzione del malware

Gli eventi chiave che hanno definito il panorama delle minacce informatiche nell'anno 2014

Contenuti

La fine dell’anno è, tradizionalmente, tempo di bilanci e riflessioni – per fare il punto sulla nostra vita, prima di considerare con la dovuta attenzione ciò che, nell’immediato futuro, si prospetta dinanzi a noi. È quindi di nuovo giunto il momento di presentare la nostra consueta retrospettiva dedicata agli eventi e alle tendenze che, nel corso del 2014, hanno maggiormente segnato il vasto panorama delle minacce informatiche.

1. Attacchi mirati e campagne di malware

Gli attacchi informatici di natura mirata occupano ormai una posizione preminente nello scenario globale delle minacce IT; non costituisce quindi motivo di particolare sorpresa il fatto che essi risultino ben presenti nell’ambito della nostra rassegna annuale dedicata all’evoluzione del malware.

La complessa campagna di cyber-spionaggio denominata ‘Careto‘ o ‘The Mask’ (il termine Careto, nello slang spagnolo, significa, in effetti, “maschera” o “brutta faccia”) è stata appositamente progettata per realizzare il furto di preziosi dati sensibili appartenenti a società, organizzazioni, istituti ed enti ben specifici. L’operazione, peraltro riconducibile al composito quadro delle minacce APT (Advanced Persistent Threat, minacce informatiche di tipo avanzato e persistente), ha interessato obiettivi di vario genere. Le vittime di tali sofisticati attacchi mirati, ubicate in 31 diversi paesi del globo, sono risultate essere, principalmente, agenzie ed enti governativi, ambasciate, società operanti nel settore energetico, istituti di ricerca, società per azioni private ed attivisti. Careto comprendeva un sofisticato trojan backdoor in grado di intercettare tutti i canali di comunicazione e di raccogliere, quindi, ogni genere di dati dai computer sottoposti ad attacco – incluso chiavi crittografiche, configurazioni VPN, chiavi SSH, file RDP ed alcuni tipi di file dall’estensione sconosciuta, che potrebbero essere legati a strumenti di codifica personalizzati, operanti a livello militare/governativo. Così come per Red October ed altri precedenti attacchi di natura mirata, il codice del malware utilizzato dai cybercriminali si è rivelato essere altamente modulare, permettendo in tal modo agli aggressori di aggiungere in qualsiasi momento nuove funzionalità nocive, a loro piacimento. Careto, alias The Mask, è, in sostanza, un potente attack toolkit multipiattaforma; sono state in effetti rilevate sia versioni della backdoor in causa destinate al sistema operativo Windows, sia versioni di tale sofisticata minaccia APT rivolte alla piattaforma Mac OS X. Alcuni specifici elementi, individuati dai nostri esperti all’interno di determinati moduli, indicano poi, al contempo, la possibile esistenza di versioni del malware appositamente sviluppate per attaccare i sistemi operativi Linux, iOS ed Android. Per celare le attività nocive svolte all’interno della macchina sottoposta ad attacco, il trojan qui analizzato si avvale inoltre di tecniche di occultamento particolarmente avanzate. Come generalmente avviene per qualunque campagna di spionaggio particolarmente complessa e sofisticata, risulta virtualmente impossibile effettuare l’attribuzione di The Mask a precisi responsabili. Non sappiamo, di fatto, chi si possa nascondere dietro l’enigmatica “maschera”, chi siano, in realtà, gli “attori” che tengono sapientemente le fila di tale estesa operazione di cyber-spionaggio. Anche l’uso stesso della lingua spagnola nel codice del malware in questione non rappresenta un elemento particolarmente significativo nella ricerca di possibili attribuzioni e responsabilità, in quanto, come è noto, si tratta di una lingua ampiamente utilizzata in molte aree del globo. È persino possibile che l’inconsueto impiego dello spagnolo costituisca un preciso tentativo di depistaggio intenzionale, allo scopo di generare un falso indizio, per distogliere il più possibile le attenzioni nei confronti dei reali autori del malware. Tuttavia, l’elevato grado di professionalità dimostrato dal gruppo che si nasconde dietro questa insistita serie di sofisticati attacchi informatici risulta piuttosto inusuale perché questi ultimi possano essere attribuiti ad una delle classiche ed ordinarie “gang” di cybercriminali; tale elemento indica piuttosto come Careto/The Mask possa essere, di fatto, una campagna di cyber-spionaggio sponsorizzata a livello di stati nazionali. Al pari delle precedenti campagne di attacchi mirati, anche le radici della vasta operazione di spionaggio cibernetico denominata con il singolare appellativo di Careto, risalgono ad un periodo largamente antecedente rispetto al momento in cui la minaccia IT qui sopra analizzata è comparsa sulla scena del malware mondiale: riteniamo in effetti, a ragion veduta, che i criminali siano attivi sin dal 2007.

malware_evolution_it_1

Nella prima metà del mese di marzo 2014 si è accesa un’ampia discussione all’interno della community dei ricercatori operanti nel campo della sicurezza IT, relativamente ad una campagna di cyber-spionaggio denominata in codice “Epic Turla” (altrimenti conosciuta con l’appellativo di “Snake” o “Uroburos”, il nome dell’antico simbolo che raffigura il serpente che si morde la coda). I ricercatori di G-DATA hanno sostenuto che il malware dispiegato nell’ambito di tale persistente operazione di spionaggio informatico poteva essere stato creato dai servizi speciali russi. Al contempo, le ricerche condotte da BAE Systems hanno collegato Epic Turla al malware classificato come “Agent.btz”, risalente al 2007, il quale era stato utilizzato nel corso del 2008 per infettare le reti locali adibite alle operazioni militari statunitensi nello scacchiere mediorientale. La nostra analisi iniziale di Epic Turla si è focalizzata sul particolare utilizzo, da parte del malware in causa, dei flash drive USB, impiegati per stoccare i dati sensibili sottratti,nel caso in cui gli stessi non possano essere inviati tramite Internet al server di Comando e Controllo (C2) appositamente predisposto dai criminali. Il worm, in pratica, crea un file chiamato <thumb.dll> su tutte le unità flash USB che vengono collegate al computer infetto (file adibito a contenere, a sua volta, i file <winview.ocx>, <wmcache.nld> e <mssysmgr.ocx>). Se il flash drive “contaminato” viene poi inserito in un altro computer, il file <thumb.dll> verrà automaticamente copiato sul nuovo computer, con il nome <mssysmgr.ocx>.

Naturalmente, Epic Turla non costituisce l’unica minaccia informatica in grado di diffondersi tramite le unità flash USB. Il file <thumb.dll>, scritto, come abbiamo visto, dal worm Agent.btz, risulta ad esempio essere uno dei file di cui si avvale il modulo “USB Stealer”, utilizzato nel quadro dell’estesa campagna di cyber-spionaggio denominata Red October (Ottobre Rosso); tale modulo include, infatti, uno specifico elenco di file che esso provvede a ricercare sulle chiavette USB collegati ai computer infetti. Gli esperti di Kaspersky Lab hanno osservato come tale elenco comprenda anche i file <mysysmgr.ocx> e <thumb.dll>, vale a dire due dei file abitualmente trasferiti su flash drive dal malware Agent.btz.

Rivolgendo il nostro sguardo ancor più indietro nel tempo, non possiamo non evidenziare come, nel momento stesso in cui i nostri ricercatori hanno provveduto ad analizzare alcuni dei più sofisticati strumenti utilizzati nelle campagne globali di spionaggio informatico – ovvero il malware Flame ed i suoi due illustri “cugini”, Gauss e miniFlame – siano ugualmente emerse alcune indiscutibili similarità con il worm Agent.btz. In primo luogo, è risultata del tutto analoga la modalità utilizzata dagli aggressori nel nominare i file, ed in particolar modo il ricorso all’estensione <.ocx>. Oltre a ciò, è stato rilevato come, sia Gauss che miniFlame, conoscessero bene, in maniera del tutto evidente, il file <thumb.dll>, da essi costantemente ricercato sulle chiavette USB.

Gli elementi di confronto e similarità sopra descritti sono riassunti nel grafico consultabile al seguente
link
. Riteniamo, da parte nostra, che in ragione dell’effettiva portata dell’epidemia informatica descritta nel presente capitolo del report – peraltro combinata alla specifica funzionalità qui sopra illustrata – possano al giorno d’oggi esistere, in tutto il mondo, decine di migliaia di unità flash USB contenenti i famigerati file denominati <thumb.dll>, creati dal malware Agent.btz.

malware_evolution_it_2

Nella nostra successiva analisi dell’operazione Epic Turla, pubblicata dal Global Research and Analysis Team (GReAT) di Kaspersky Lab nello scorso mese di agosto, abbiamo illustrato in dettaglio le modalità di utilizzo di precisi metodi di ingegneria sociale, da parte dei criminali, allo scopo di generare la diffusione del malware; è stata ugualmente descritta, da parte nostra, la struttura complessiva di tale estesa campagna di cyber-spionaggio. Per adescare le proprie vittime, gli aggressori ricorrono, in primo luogo, alle famigerate e-mail di spear-phishing, con il preciso intento di realizzare l’installazione di un temibile programma backdoor sui computer sottoposti ad attacco. Alcune di tali e-mail dannose sono preposte a recapitare all’utente-vittima insidiosi exploit zero-day; uno di essi è stato appositamente progettato, dai virus writer, per attaccare la nota applicazione Adobe Acrobat Reader; l’altro, invece, viene abitualmente dispiegato per sfruttare una particolare vulnerabilità individuata in Windows XP e Windows Server 2003, allo scopo di scalare i privilegi del sistema. I cybercriminali fanno ugualmente ricorso alla conduzione di temibili attacchi informatici di tipo “water-hole” (l’espressione inglese significa letteralmente “pozza d’acqua”, o “abbeveratoio”), nel corso dei quali vengono usati vari exploit, destinati a sfruttare specifiche falle di sicurezza rilevate in Java, Adobe Flash ed Internet Explorer; in alternativa, i criminali, sempre avvalendosi degli attacchi watering-hole, cercano di indurre le potenziali vittime ad eseguire, sul proprio computer, determinati programmi di installazione del malware, camuffati sotto forma di installer di ‘Flash Player’. A seconda dell’indirizzo IP della vittima, gli hacker forniscono exploit specificamente destinati a Java o al browser, un software fasullo – provvisto comunque di firma – in veste di Adobe Flash Player, oppure una falsa versione di Microsoft Security Essentials. Non costituisce ovviamente motivo di particolare sorpresa il fatto che la scelta dei siti web violati rifletta in pieno gli specifici interessi manifestati dagli attaccanti (così come gli interessi delle vittime dell’estesa operazione di cyber-spionaggio). L’approfondita ricerca condotta dal Global Research and Analysis Team di Kaspersky Lab ha inoltre permesso di rivelare come la backdoor Epic Turla rappresenti soltanto il primo stadio di un più vasto processo di infezione. In effetti, il malware in questione viene utilizzato dai criminali per distribuire un programma backdoor ancor più sofisticato, conosciuto come ‘Cobra/Carbon system’ (denominato ‘Pfinet’ da alcuni prodotti anti-malware). Le peculiarità, davvero uniche, riscontrate nello specifico modo di operare tramite le due backdoor in causa indicano, in tutta evidenza, una connessione chiara e diretta tra queste ultime: una di esse viene di fatto utilizzata dagli aggressori per ottenere una sorta di solido punto d’appoggio e poter confermare, quindi, il potenziale alto profilo della vittima. Qualora venga comprovato che la vittima sia di effettivo interesse per i criminali, sul computer compromesso dal malware viene immediatamente eseguito l’upgrade all’intero sistema Carbon.

malware_evolution_it_3

Nell’ultima decade dello scorso mese di giugno, all’interno del nostro blog dedicato alle tematiche di sicurezza IT, abbiamo riferito in merito all’indagine condotta dai nostri esperti riguardo ad un vasto attacco informatico lanciato nei confronti dei clienti di un’importante banca europea, una vera e propria cyber-rapina compiuta su larga scala, capace di generare, complessivamente, il furto di ben mezzo milione di euro, in una sola settimana. I nostri analisti hanno assegnato all’attacco in questione l’appellativo di ‘Luuuk‘, sulla base del percorso presente nel pannello di amministrazione utilizzato nell’ambito del server nocivo C2, ovvero ‘/server/adm/luuuk’. Pur non essendo stati in grado di ottenere un sample del malware utilizzato per infettare i computer-vittima, possiamo a ragion veduta affermare che i cybercriminali si sono avvalsi di un temibile Trojan bancario, capace di eseguire operazioni di tipo ‘Man-in-the-Browser’ (MitB), allo scopo di carpire illecitamente le credenziali e i dati sensibili delle vittime, mediante un’apposita web injection maligna. Sulla base delle informazioni disponibili in alcuni dei file di log, è risultato in tutta evidenza come il malware in causa fosse in grado di realizzare in tempo reale il furto di username, password e OTP (One-Time Password), le password valide per una singola sessione di accesso o transazione. Nel corso dell’attacco informatico i criminali hanno utilizzato le credenziali degli utenti, sottratte in precedenza, al fine di controllare il saldo presente sull’account bancario della potenziale vittima ed eseguire poi in maniera automatica le transazioni illegali, operando probabilmente in background durante un’ordinaria sessione di banking online, del tutto legittima. Il denaro illecitamente carpito veniva poi trasferito automaticamente sui conti bancari appositamente allestiti nell’ambito di un articolato sistema di “money mule”, ovvero account intestati a vari “muli”, o “galoppini”, di cui si avvaleva l’organizzazione cybercriminale, oscuri personaggi preposti al riciclaggio del denaro sporco. A tal proposito, si è rivelato particolarmente curioso ed interessante il sistema di classificazione adottato nei confronti dei “money mule” da parte dei malintenzionati in causa. Sono in pratica emersi quattro differenti gruppi di money mule, ognuno determinato dall’importo massimo di denaro che i “muli” presenti in ciascuno dei gruppi avrebbero potuto accettare e ricevere sul proprio conto bancario, probabilmente una sorta di riflesso indiretto del grado di fiducia riposto in tali collaboratori. In totale, sono state da noi identificate ben 190 vittime delle transazioni finanziarie fraudolente compiute dal gruppo cybercriminale “Luuuk”; la maggior parte di esse sono risultate essere ubicate sul territorio di Italia e Turchia. Le somme di denaro sottratte a ciascuno degli utenti-vittima oscillavano dai 1.700 € ai 39.000 €, per un importo complessivo di 500.000 euro illecitamente sottratti.

Nonostante i criminali – non appena sono state avviate le nostre indagini in materia – abbiano rapidamente rimosso tutti i componenti sensibili da essi utilizzati, è lecito ritenere, sulla base delle effettive attività di transazione nel frattempo svolte, che ciò abbia rappresentato, semplicemente, una sorta di cambiamento a livello di infrastrutture utilizzate, anziché, come sarebbe invece più che auspicabile, un totale smantellamento delle operazioni criminose condotte. Le approfondite analisi effettuate dagli esperti di Kaspersky Lab indicano, a tutti gli effetti, come i cybercriminali che si nascondono dietro le trame della campagna fraudolenta qui descritta si siano di sicuro rivelati, a modo loro, altamente professionali e particolarmente attivi. Tra l’altro, essi hanno condotto specifiche attività di natura proattiva, soprattutto a livello di “sicurezza” operativa, modificando rapidamente la tattica criminosa adottata di volta in volta, e rimuovendo poi ogni traccia, non appena scoperti. Da parte nostra, non appena abbiamo scovato ed identificato il server C2 di comando e controllo, utilizzato dai malintenzionati, ci siamo preoccupati di segnalare tempestivamente la delicata questione di sicurezza IT alla banca coinvolta nella vicenda, così come alle agenzie governative competenti e alle forze dell’ordine. Le indagini e le ricerche relative alla campagna fraudolenta qui sopra descritta sono tuttora in corso.

Verso la fine del mese di giugno 2014 abbiamo assistito al riattivarsi di ‘MiniDuke’, nota campagna APT (Advanced Persistent Threat) basata sulla conduzione di attacchi informatici mirati, risalente, in origine, ai primi mesi del 2013. Ricordiamo, a tal proposito, come l’analoga campagna iniziale si fosse contraddistinta, sulla scena del malware mondiale, in maniera davvero particolare, per tutta una serie di motivi. La prima versione di MiniDuke comprendeva, infatti, una backdoor personalizzata scritta “alla vecchia maniera”, nel linguaggio di programmazione Assembler. L’attacco informatico, inoltre, veniva gestito mediante l’utilizzo di un’apposita infrastruttura di comando e controllo (C2), del tutto inusuale: si faceva ampiamente ricorso a percorsi ridondanti multipli, incluso numerosi account Twitter. Gli sviluppatori erano poi soliti trasferire in forma nascosta i loro file eseguibili aggiornati, occultando gli stessi all’interno di appositi file GIF.

Gli specifici target della nuova operazione MiniDuke – ugualmente conosciuta con gli appellativi di ‘CosmicDuke‘ o ‘TinyBaron’ – sono rappresentati da funzionari che agiscono presso istituzioni governative e diplomatiche, così come da operatori del settore energetico, militare e delle telecomunicazioni. In maniera piuttosto inusuale, a dire il vero, l’elenco delle vittime della nuova campagna APT include ugualmente personaggi coinvolti nel traffico e nella rivendita di sostanze illegali, quali steroidi e ormoni. La ragione di tale specifica e singolare circostanza non traspare tuttavia in maniera evidente: è forse possibile che la backdoor personalizzabile sia stata resa disponibile sotto forma di “spyware legale”, oppure, più semplicemente, tale programma malware, risultando magari fruibile nell’ambito del cosiddetto mercato underground, potrebbe essere stato acquistato da varie società concorrenti nel settore farmaceutico, per compiere poi operazioni di spionaggio reciproco.

malware_evolution_it_4

Geografia delle vittime (Miniduke e CosmicDuke)

Il malware esegue attività di spoofing relativamente ad applicazioni particolarmente diffuse, appositamente progettate per funzionare in background; questo può ad esempio riguardare le informazioni sui file, le relative icone e persino la dimensione dei file stessi. Il programma backdoor viene compilato utilizzando ‘BotGenStudio’, un framework personalizzabile che permette agli aggressori di attivare e disattivare i vari componenti nel momento stesso in cui il bot viene costruito. MiniDuke provvede non soltanto a realizzare il furto dei file provvisti di estensioni specifiche; il malware in causa, in effetti, raccoglie ugualmente le password, i dati relativi alla cronologia, le informazioni di rete, gli elenchi degli indirizzi, le informazioni visualizzate dall’utente-vittima sul proprio schermo (vengono eseguiti appositi screenshot, ogni cinque minuti) al pari di ulteriori dati sensibili. Ad ogni vittima viene assegnato un ID univoco, il quale consente, in seguito, di trasmettere aggiornamenti specifici per ognuno dei singoli target presi di mira.

Il malware descritto nel presente capitolo della nostra consueta rassegna annuale dedicata all’evoluzione delle minacce informatiche viene abitualmente protetto mediante un apposito loader, debitamente offuscato e personalizzato, preposto a consumare in maniera pesante le risorse della CPU, per un periodo di almeno 3-5 minuti, prima di avviare l’esecuzione del relativo payload. Tali circostanze rendono di fatto particolarmente difficile l’analisi di MiniDuke. Per di più, il malware in causa sfrutta ugualmente quelle risorse che risulterebbero necessarie al software di sicurezza al fine di emulare l’esecuzione del malware stesso. In aggiunta all’impiego di un proprio offuscatore, MiniDuke pratica inoltre un uso davvero massiccio della crittografia e della compressione, basandosi sugli algoritmi RC4 e LZRW. Tali funzionalità vengono peraltro implementate con modalità leggermente diverse rispetto alle versioni standard; riteniamo, a ragion veduta, che ciò sia stato deliberatamente realizzato, dai criminali, allo scopo di fuorviare i ricercatori. La configurazione interna del malware risulta a sua volta codificata, compressa e serializzata alla stregua di una struttura particolarmente complessa, del tutto simile ad una sorta di registro, la quale presenta varie tipologie di record, incluso stringhe, parti intere e vari riferimenti interni. Quando viene effettuato, sul server di comando e controllo (C2), l’upload dei dati sottratti, il relativo file viene suddiviso in piccole porzioni (aventi una dimensione di circa 3KB), le quali vengono successivamente compresse, codificate e collocate all’interno di un apposito contenitore, per il conseguente processo di trasferimento e caricamento dei dati sul server. Nel caso in cui si tratti di un file di grandi dimensioni, quest’ultimo, dopo essere stato debitamente “sminuzzato”, può essere addirittura piazzato all’interno di diverse centinaia di container, i quali verranno poi tutti quanti caricati sul server nocivo, in maniera del tutto indipendente l’uno dall’altro. È altamente probabile che queste porzioni di dati vengano in seguito analizzate sintatticamente, decodificate, decompresse, estratte e riassemblate da parte degli aggressori. Mentre un simile metodo può ovviamente generare un eccesso di attività di per se stesse macchinose, tali layer di elaborazione aggiuntiva sembrano tuttavia poter assicurare che solo pochissimi ricercatori ed analisti riusciranno poi a giungere ai dati originali. Tali procedure, inoltre, offrono una maggiore affidabilità nei confronti di eventuali errori di rete.

Nello scorso mese di luglio è stata da noi pubblicata un’approfondita analisi, eseguita dal GReAT team di Kaspersky Lab, riguardo ad un’estesa campagna di attacchi informatici mirati, da noi soprannominata ‘Crouching Yeti‘ (tale appellativo può essere tradotto in italiano come “lo Yeti acquattato”, pronto per balzare all’attacco). La campagna di cyber-spionaggio in questione è ugualmente conosciuta con il nome di ‘Energetic Bear’ (l’espressione inglese significa, letteralmente, “orso energico, attivo”), poiché i ricercatori dell’azienda di cybersecurity CrowdStrike hanno lasciato intendere che i responsabili degli attacchi informatici condotti fossero geograficamente ubicati in Russia: riteniamo, da parte nostra, che non vi siano elementi o prove sufficienti per poter confermare, in un modo o nell’altro, quanto asserito da CrowdStrike a tal proposito. La campagna Crouching Yeti, il cui inizio risale addirittura alla fine dell’anno 2010, ha sinora preso di mira i seguenti settori: industria/macchinari, manifatturiero, farmaceutico, costruzioni, istruzione ed information technology (IT). Per il momento, il numero totale delle “vittime” accertate è di oltre 2.800, in tutto il mondo; tra di esse, i ricercatori di Kaspersky Lab hanno identificato ben 101 diverse organizzazioni, situate, principalmente, sul territorio di Stati Uniti, Spagna, Giappone, Germania, Francia, Italia, Turchia, Irlanda, Polonia e Cina.

malware_evolution_it_5

Per infiltrarsi all’interno dei computer appartenenti alle vittime designate, i cybercriminali che si nascondono dietro a tali attacchi mirati si avvalgono di varie tipologie di malware (si tratta, nella fattispecie, di software e tool nocivi appositamente creati e sviluppati per infettare i sistemi informatici provvisti di sistema operativo Windows). Il preciso obiettivo degli attaccanti è quello di estendere progressivamente il proprio raggio d’azione all’interno delle organizzazioni ed istituzioni bersagliate, allo scopo di realizzare il furto di dati sensibili e confidenziali, incluso la proprietà intellettuale ed altre importanti informazioni di natura strategica. Il malware utilizzato dagli aggressori che operano nell’ambito della campagna Crouching Yeti comprende speciali moduli aggiuntivi finalizzati alla raccolta di dati provenienti da specifici ambienti IT adibiti al controllo industriale. I computer compromessi dai suddetti software e strumenti nocivi si connettono poi ad una vasta rete di siti web violati, i quali ospitano vari moduli di malware, custodiscono informazioni sulle vittime di Crouching Yeti e smistano comandi ai sistemi infetti. Al fine di generare l’infezione informatica sui computer sottoposti ad attacco, gli aggressori fanno affidamento su tre diversi metodi. Essi ricorrono, in primo luogo, ad un installer di software del tutto legittimo, appositamente “riconfezionato” per includere, allo stesso tempo, un file DLL dannoso; i criminali si avvalgono, inoltre, delle consuete e-mail di spear-phishing, così come dei subdoli attacchi di tipo watering-hole. Nello specifico, il termine ‘watering-hole’ viene applicato ad un sito web compromesso che, con buona probabilità, sarà in seguito visitato dalle potenziali vittime degli attacchi mirati, durante la navigazione condotta da queste ultime in Rete. Si tratta, quindi, di siti già violati in precedenza dagli aggressori, mediante apposite iniezioni di codice nocivo, volte a generare l’installazione di malware sui computer di tutti coloro che visiteranno il sito Internet compromesso.

La tecnologia è ormai parte integrante della nostra vita; non costituisce quindi motivo di sorpresa il fatto che i conflitti presenti in varie aree del globo acquisiscano in misura sempre maggiore una vera e propria “cyber-dimensione”. Tale definizione si rivela particolarmente calzante per la macro-area medio-orientale, zona del mondo in cui i conflitti geo-politici hanno purtroppo conosciuto un’ulteriore preoccupante escalation ed intensificazione nel corso di questi ultimi anni. Nello scorso mese di agosto, sempre all’interno del nostro blog riservato ai temi della sicurezza informatica, abbiamo riferito in merito all’evidente aumento dell’attività del malware manifestatosi in Siria già a partire dai primi mesi del 2013. Le vittime di tali attacchi non risultano, tuttavia, ubicate esclusivamente in territorio siriano. In effetti, il malware in questione è stato ugualmente visto all’opera in Turchia, Arabia Saudita, Libano, Palestina, Emirati Arabi Uniti, Israele, Marocco, Francia e Stati Uniti. Siamo stati in grado di ricondurre i server C2 di comando e controllo, utilizzati dai criminali, a specifici indirizzi IP situati in Siria, Russia, Libano, Stati Uniti e Brasile. Abbiamo complessivamente individuato 110 file, 20 domini e 47 indirizzi IP associati a tali attacchi.

malware_evolution_it_6

Risulta ben evidente come i gruppi coinvolti negli attacchi in questione siano, di fatto, bene organizzati. Sino ad ora i criminali si sono avvalsi di strumenti malware già sviluppati e disponibili sul mercato, anziché crearne di propri (sebbene essi facciano uso di numerosi metodi di offuscamento, nel tentativo di eludere i rilevamenti basati sulle semplici firme del malware). Riteniamo tuttavia, a ragion veduta, che sia il numero, sia il livello di complessità e sofisticatezza dei programmi malware dispiegati in tale regione dello scacchiere mediorientale, siano con ogni probabilità destinati ad accrescersi.

Abbiamo pubblicato, in novembre, la nostra analisi in merito alla famigerata minaccia APT definita ‘Darkhotel‘, una temibile campagna operante ormai da quasi un decennio sulla scena del malware, volta a prendere di mira migliaia di vittime in tutto il mondo. Il 90 percento delle infezioni da noi rilevate si è verificato in Giappone, Taiwan, Cina, Russia e Hong Kong; si sono tuttavia registrate infezioni informatiche generate dalla suddetta minaccia IT anche in Germania, Stati Uniti, Indonesia, India ed Irlanda.

malware_evolution_it_7

La campagna di spionaggio qui descritta si contraddistingue per il fatto di utilizzare vari livelli di targeting. In primo luogo, i cybercriminali che si celano dietro l’APT Darkhotel fanno uso di e-mail di spear-phishing e di exploit zero-day per infiltrarsi all’interno di organizzazioni operanti in vari settori, incluso il DIB (Defense Industrial Base), enti governativi ed organizzazioni non governative (ONG). In secondo luogo, i malintenzionati diffondono il malware in maniera indiscriminata, attraverso siti giapponesi di file-sharing P2P (peer-to-peer). In terzo luogo, i malfattori in causa prendono specificamente di mira businessmen, manager e dirigenti d’azienda che, durante i loro viaggi di affari all’estero, soggiornano presso hotel situati in una serie ben definita di paesi: avvalendosi di un processo di infezione che si dipana in due distinte fasi, i criminali provvedono innanzitutto a determinare l’identità delle loro vittime, per poi generare il download di ulteriore malware sui computer appartenenti ai target (per loro) più significativi ed interessanti; si tratta, più precisamente, di software nocivo appositamente sviluppato per realizzare il furto dei dati confidenziali dell’utente sottoposto ad attacco.

2. Le vulnerabilità presenti nelle nostre abitazioni ed altre falle di sicurezza di particolare rilievo

Lo sfruttamento delle vulnerabilità per le quali non sono state ancora rilasciate le necessarie patch da parte delle software house rimane, indubbiamente, uno dei meccanismi chiave attualmente utilizzati dalle folte schiere dei cybercriminali per generare l’installazione di temibili codici maligni sui computer degli utenti-vittima. Tutto ciò si basa sull’effettiva esistenza di vulnerabilità, o falle di sicurezza che dir si voglia, in vari software utilizzati da un vasto pubblico; al tempo stesso, i malfattori confidano sul fatto che gli utenti privati o corporate non provvedano ad effettuare in tempo debito gli indispensabili aggiornamenti di sicurezza, mediante l’installazione delle apposite patch via via rilasciate.

Nell’anno oggetto del presente report, le vulnerabilità più significative sono state scoperte in due protocolli open source ampiamente diffusi ed utilizzati, conosciuti, rispettivamente, con la denominazione di ‘Heartbleed’ e ‘Shellshock’. Heartbleed, una falla di sicurezza individuata nel protocollo di cifratura OpenSSL consente ai criminali di leggere il contenuto della memoria, così come di intercettare i dati personali, nell’ambito dei sistemi che si avvalgono di versioni vulnerabili del protocollo in causa. OpenSSL, implementazione open source dei protocolli SSL e TLS, viene largamente utilizzato per proteggere le comunicazioni basate su Internet, incluso web, e-mail, messaggistica istantanea e reti VPN (Virtual Private Network); il potenziale impatto di tale vulnerabilità è quindi risultato essere di enorme portata. Come spesso avviene quando si prospetta il rischio che un’elevata quantità di dati personali possa essere oggetto di violazione da parte di malintenzionati, abbiamo assistito, nel caso specifico, ad una vera e propria corsa alla rapida sostituzione delle password quotidianamente utilizzate. Naturalmente, tale operazione si sarebbe rivelata efficace solo nel caso in cui il provider online di riferimento avesse già adottato le necessarie misure per “patchare” il protocollo OpenSSL, mettendo in tal modo in sicurezza i propri sistemi informatici; in caso contrario, qualsiasi nuova password inserita dagli utenti sarebbe solo stata a rischio di attacchi da parte di cybercriminali impegnati nel tentativo di sfruttare la suddetta vulnerabilità. Per quel che ci riguarda, abbiamo espresso il nostro punto di vista sull’impatto esercitato dal bug Heartbleed giusto due mesi dopo che l’esistenza della falla di sicurezza sopra descritta è stata resa di pubblico dominio.

Nello scorso mese di settembre, il mondo della sicurezza IT si è trovato a dover fronteggiare un vero e proprio allarme rosso, a seguito della scoperta della vulnerabilità Shellshock, ugualmente conosciuta con l’appellativo di ‘Bash’. La falla di sicurezza in questione consente all’ipotetico hacker/cybercriminale di collegare un file maligno ad una variabile che viene eseguita quando risulta chiamato in causa l’interprete di comandi Bash. In altre parole, dopo aver confezionato un exploit di successo, un hacker potrebbe ottenere il controllo completo dei sistemi interessati. Bash (acronimo di ‘Bourne again shell’, dal nome del suo autore originario, Stephen Bourne), una shell Unix sviluppata da GNU Project nel lontano 1989, è, in sostanza, la shell di default nell’ambito dei sistemi operativi Linux e Mac OS X. Si tratta, in pratica, di un linguaggio di script utilizzato per inserire comandi; in poche parole, invia e interpreta dei comandi. L’alto impatto di tale vulnerabilità, unitamente alla facilità con cui Bash potrebbe essere sfruttata dai malintenzionati, rende la stessa estremamente potente; ciò ha causato, ovviamente, forti preoccupazioni tra gli esperti di sicurezza informatica. Sono stati davvero in molti, ad esempio, a paragonare il bug in questione addirittura alla famigerata vulnerabilità ‘Heartbleed’. Tuttavia, a differenza di Heartbleed, Shellshock è persino in grado di assicurare il pieno controllo sul sistema informatico sottoposto ad attacco, non limitandosi, pertanto, alla sola funzionalità nociva riguardante il furto dei dati custoditi nella memoria. Non è trascorso molto tempo prima che qualche aggressore cercasse di sfruttare per i propri loschi fini la vulnerabilità sopra descritta; peraltro, i primi esempi di utilizzo di tale bug sono stati da noi esaminati poco dopo la scoperta stessa di Shellshock. Nella maggior parte dei casi i cybercriminali hanno provveduto ad attaccare da remoto dei server web adibiti all’hosting di script CGI (Common Gateway Interface) compilati in linguaggio Bash, o preposti a passare valori agli script di shell. La suddetta vulnerabilità, tuttavia, potrebbe indirettamente costituire una minaccia anche per un’infrastruttura basata sull’OS Windows. Purtroppo, il problema non risulta confinato esclusivamente ai server web. In effetti, Bash viene largamente utilizzata nel firmware di alcuni dei dispositivi la cui sicurezza, nella nostra vita di tutti i giorni, viene ormai data per scontata. Si tratta, nella fattispecie, di router, elettrodomestici e punti di accesso wireless. Per alcuni di tali dispositivi può essere difficile, o addirittura impossibile, reperire l’indispensabile patch di aggiornamento.

Possiamo senza ombra di dubbio affermare che Internet, al giorno d’oggi, si stia letteralmente intrecciando, sempre di più, con il tessuto delle nostre vite; in numerosi casi, in effetti, la connettività risulta ormai essere un elemento pienamente “incorporato” negli oggetti di uso quotidiano. Tale specifica tendenza, conosciuta con l’appellativo di “Internet delle cose” (IoT, acronimo dell’espressione inglese ‘Internet of Things’) sta attirando in misura sempre maggiore le attenzioni – ovviamente contrapposte – di hacker e ricercatori, impegnati nel sondare e testare le sofisticate tecnologie attualmente integrate nelle autovetture, nei sistemi alberghieri, nei sistemi di allarme domestici ed altro ancora – con il preciso obiettivo di individuare la presenza di eventuali vulnerabilità critiche. L’Internet delle cose, talvolta, può apparire come qualcosa di estremamente futuristico e poco tangibile. In realtà, l’IoT è spesso molto più vicino a noi di quanto possiamo immaginare. Le abitazioni moderne, infatti, sono di frequente corredate da tutta una serie di dispositivi connessi alla rete locale, senza che si tratti, necessariamente, dei tradizionali computer; parliamo, nella fattispecie, di dispositivi quali smart TV, stampanti, console di gioco, dispositivi di archiviazione in rete o di alcuni tipi di media player/ricevitore satellitare.

malware_evolution_it_8

Uno dei nostri ricercatori operanti nel campo della sicurezza IT ha condotta un’immagine nella propria abitazione, al fine di stabilire se quest’ultima fosse realmente “cyber-sicura”. Egli ha esaminato vari elementi tecnologici di uso domestico, incluso i dispositivi NAS (Network Attached Storage), smart TV, router e ricevitore satellitare, per vedere se gli stessi risultassero vulnerabili ad eventuali attacchi. I risultati dell’indagine condotta sono stati a dir poco sorprendenti. Difatti, egli ha individuato ben 14 vulnerabilità sui dispositivi “network-attached storage” (memorie connesse alla rete), una a livello di smart TV, così come numerose potenziali funzioni di controllo remoto nascoste nel router. Tutti i dettagli relativi all’indagine eseguita dal ricercatore di Kaspersky Lab possono essere consultati qui. È davvero di fondamentale importanza che tutti quanti, sia gli utenti privati che gli utenti corporate, comprendano i potenziali rischi di sicurezza associati all’utilizzo dei dispositivi in rete. Dobbiamo anche tenere bene a mente il fatto che le nostre informazioni non sono al sicuro solo perché utilizziamo password solide e robuste, oppure ci avvaliamo di software specifici in grado di fornire un’adeguata protezione nei confronti dei codici maligni. Vi sono in effetti molti fattori ed elementi sui quali non possiamo, in pratica, esercitare alcun controllo diretto; riguardo a ciò siamo, in una certa misura, nelle mani dei produttori di software e hardware. Non tutti i dispositivi includono, ad esempio, controlli automatici riguardo agli eventuali aggiornamenti disponibili, rilasciati dal produttore; succede, talvolta, che ai consumatori venga richiesto di provvedere direttamente al download e all’installazione di un nuovo firmware. Questo, come è noto, non è sempre un compito agevole. Peggio ancora: non risulta sempre possibile procedere all’aggiornamento di un dispositivo; è in effetti emerso come l’abituale supporto – in termini di update rilasciati dal vendor – per la maggior parte dei dispositivi analizzati nel corso della ricerca qui descritta, fosse stato interrotto già da più di un anno.

3. La continua crescita esponenziale del malware mobile

Abbiamo assistito, nel corso di questi ultimi anni, ad una forte e repentina crescita del numero dei programmi malware appositamente creati e sviluppati dai virus writer per attaccare le piattaforme mobile. Nel periodo intercorrente tra l’anno 2004 ed il 2013 gli esperti di Kaspersky Lab avevano analizzato circa 200.000 sample di codici maligni ascrivibili alla specifica tipologia del malware mobile. Ora, nel solo 2014, sono stati analizzati, da parte nostra, altri 295.539 sample di software nocivi dedicati ai sistemi operativi mobile. Le cifre e le considerazioni sopra esposte non forniscono tuttavia un quadro completo della situazione. Il fatto è che i sample di codice dannoso vengono, in pratica, riutilizzati e “riconfezionati”, da parte dei cybercriminali, in appositi pacchetti malevoli; così, nel 2014, sono stati individuati “soltanto” 4.643.582 pacchetti di installazione maligni riconducibili a malware mobili (contro gli oltre 10.000.000 di pacchetti di installazione complessivamente rilevati nel periodo 2004 – 2013). Il numero degli attacchi condotti ogni mese dai malintenzionati nei confronti degli utenti dei dispositivi mobile, risulta poi aumentato di quasi dieci volte; siamo in effetti passati dai 69.000 attacchi registrati nel mese di agosto 2013 ai 644.000 attacchi – da parte di malware mobile – riscontrati nel solo mese di marzo 2014 (vedi, a tal proposito, il Report
sulle Cyber-Minacce Mobili stilato congiuntamente da Kaspersky Lab ed INTERPOL, pubblicato nel mese di ottobre 2014
).

Attualmente, il 53% del volume complessivo dei rilevamenti eseguiti riguardo al malware mobile è ascrivibile ai famigerati Trojan mobili, software nocivi appositamente sviluppati dai virus writer per realizzare il furto delle risorse finanziarie degli utenti (si tratta, nella fattispecie, dei Trojan-SMS e dei Trojan bancari). Uno degli esempi più significativi di tale tipologia di software dannoso è indubbiamente rappresentato dal malware mobile denominato Svpeng, appositamente progettato per carpire cospicue somme di denaro ai clienti di tre banche russe di primaria importanza. Il Trojan mobile in questione attende il momento in cui il cliente dell’istituto bancario provvede ad aprire la relativa applicazione di banking online, per poi sostituire la stessa con la propria, allo scopo di ottenere le credenziali di login del cliente-vittima. Svpeng cerca ugualmente di carpire i dati sensibili relativi alla carta di credito dell’utente, facendo in modo che sullo schermo del dispositivo mobile sottoposto ad attacco appaia la propria finestra, direttamente sopra l’applicazione Google Play, finestra nella quale l’utente-vittima dovrebbe inserire, secondo le intenzioni dei criminali, i dettagli relativi alla credit card presa di mira. Un altro programma Trojan specializzato nel tentare di sottrarre denaro ai proprietari degli apparati mobili è il malware convenzionalmente denominato Waller, il quale, oltre a comportarsi come un tipico Trojan-SMS, provvede ugualmente a realizzare il furto delle somme di denaro presenti nei QIWI wallet custoditi nei dispositivi infetti.

Allo stesso modo, i criminali informatici hanno anche provveduto a diversificare gli sforzi da essi prodotti per cercare di impadronirsi delle risorse finanziarie possedute dalle loro potenziali vittime; per far ciò, i malintenzionati si sono avvalsi di metodi già consolidati e ampiamente collaudati, nell’uso, su computer desktop e laptop. Tali attività nocive contemplano, tra l’altro, il ricorso all’utilizzo dei famigerati ransomware, i cosiddetti Trojan “estorsori”. Le applicazioni fasulle mascherate sotto forma di utili programmi anti-virus costituiscono un altro chiaro esempio di approccio dannoso applicato anche al mondo dei dispositivi mobili. Il periodo annuale oggetto della nostra analisi riguardo agli eventi che hanno maggiormente contrassegnato l’evoluzione delle minacce IT, ha visto ugualmente la comparsa, sulla scena del malware, del primo programma Trojan gestito attraverso un server di comando e controllo (C2) ospitato all’interno della rete anonima TOR. La backdoor denominata Torec è risultata essere, in sostanza, una variante di Orbot, client TOR di comune utilizzo. Nella fattispecie, gli evidenti vantaggi, per i cybercriminali, sono ovviamente rappresentati dal fatto che il server C2 in questione non può essere né disattivato, né smantellato.

Fino a poco tempo fa, quasi tutti i programmi malware specificamente creati dai virus writer per attaccare il sistema operativo iOS venivano appositamente progettati per sfruttare i dispositivi mobili sottoposti, in precedenza, a procedure di jailbreaking da parte degli utenti.

Tuttavia, la recente apparizione del malware battezzato dagli esperti di sicurezza IT con l’appellativo di ‘WireLurker’ ha dimostrato, di fatto, come l’iOS non sia immune dagli attacchi informatici.

Al giorno d’oggi, i dispositivi mobili risultano ormai pienamente integrati nel tessuto della nostra vita; non costituisce pertanto motivo di particolare sorpresa il fatto che lo sviluppo del malware mobile venga supportato da una vasta struttura specializzata nel business cybercriminale, composta sia dagli autori dei software nocivi, sia dai collaudatori del malware, così come dai designer di applicazioni, sviluppatori web e gestori di botnet.

4. O la borsa o… i tuoi file!

Il numero dei cosiddetti programmi “estorsori”, o ransomware, presenti sulla scena del cybercrimine, è progressivamente cresciuto nel corso di questi ultimi anni; non tutti i programmi ransomware, poi, prendono di mira esclusivamente i computer provvisti di sistema operativo Windows. Alcuni di essi, incluso quelli specificamente destinati ai dispositivi Android, tendono semplicemente a bloccare l’accesso al dispositivo da parte dell’utente-vittima, per poi richiedere a quest’ultimo il pagamento di un vero e proprio riscatto, per poter procedere allo sblocco del dispositivo sottoposto ad attacco informatico. Molti programmi ransomware, tuttavia, si spingono decisamente oltre, arrivando addirittura a criptare i dati custoditi sul computer della vittima. Un recente esempio di tale tipologia di malware è rappresentato dal ransomware denominato ‘ZeroLocker‘. A differenza della maggior parte dei programmi estorsori, in grado di criptare solo un elenco predefinito di tipi di file, ZeroLocker provvede invece a cifrare quasi tutti i file che si trovano sul computer-vittima, aggiungendo poi l’estensione ‘.encrypt’ ai file da esso codificati. E’ di particolare interesse osservare come il ransomware ZeroLocker non effettui il criptaggio dei file custoditi nelle directory contenenti i termini ‘Windows’, ‘WINDOWS’, ‘Program Files’, ‘ZeroLocker’ o ‘Destroy’ e, al tempo stesso, non codifichi file aventi dimensioni superiori ai 20MB. Al fine di cifrare tutti i file, il Trojan in questione genera una chiave AES a 160 bit. Una volta crittografati i file, il malware in causa provvede a lanciare l’esecuzione dell’utility ‘cipher.exe’, allo scopo di rimuovere dal drive tutti i dati inutilizzati. Entrambi gli elementi qui sopra descritti rendono molto più complesso e difficile l’eventuale ripristino dei file stessi. Per decriptare i file precedentemente cifrati, i cybercriminali che agiscono dietro al malware ZeroLocker richiedono una cifra iniziale corrispondente a 300 dollari USA in Bitcoin. Se la vittima non provvede in maniera tempestiva al pagamento, la “tariffa” sale prima a 500 dollari, poi a 1.000 dollari, man mano che il tempo passa.

Un altro programma ransomware da noi analizzato nel corso dell’anno oggetto del presente report è il Trojan Onion. Tale insidioso malware si avvale della rete anonima TOR per nascondere i propri server C2 di comando e controllo. In passato, la rete TOR è stata utilizzata da altri programmi maligni; il suddetto Trojan, tuttavia, rappresenta un caso a parte, in quanto esso è in grado di supportare una piena interazione con TOR, senza peraltro ricevere alcun input da parte dell’utente-vittima. Altri programmi riconducibili a tale specifica tipologia sono soliti comunicare con la rete anonima TOR lanciando l’esecuzione (talvolta iniettando codice all’interno di altri processi) del file legittimo ‘tor.exe’. Onion, al contrario, implementa questo genere di comunicazione come parte integrante dello stesso codice del malware. Onion utilizza ugualmente un algoritmo crittografico non ortodosso, il quale rende impossibile l’operazione di decodifica dei file criptati, anche nel caso in cui venga intercettato il traffico che abitualmente intercorre tra il Trojan ed il server malevolo C2. Il temibile Trojan qui analizzato si avvale non soltanto della crittografia asimmetrica; esso utilizza ugualmente uno speciale protocollo crittografico conosciuto come ECDH (Elliptic Curve Diffie-Hellman). Ciò rende impossibile il processo di decodifica, senza l’utilizzo della “master key privata”, la quale, peraltro, non abbandona mai il server controllato dai cybercriminali.

Quest’anno l’utilizzo dei programmi ransomware da parte dei malintenzionati è stato ugualmente esteso ai dispositivi provvisti di sistema operativo Android. La prima versione di Svpeng, ad esempio, scoperta all’inizio del 2014, provvede a bloccare il telefono dell’utente mobile, con il pretesto che la vittima si è resa responsabile della visualizzazione di contenuti pedopornografici; per tale motivo, per effettuare l’operazione di sblocco del telefono, si richiede il pagamento immediato di una “multa” di 500 dollari USA.
Una successiva variante del malware sopra menzionato, scoperta nel mese di giugno 2014, blocca completamente il dispositivo mobile sottoposto ad attacco, in maniera tale che quest’ultimo può essere spento soltanto premendo a lungo il relativo tasto ‘Off; il Trojan, tuttavia, viene nuovamente caricato non appena l’utente riaccende il dispositivo infetto. Tale versione di Svpeng ha preso di mira, in particolar modo, gli utenti mobile ubicati entro i confini del territorio degli Stati Uniti; sono state tuttavia riscontrate vittime del famigerato Trojan anche nel Regno Unito, in Svizzera, in Germania, in India ed in Russia. La suddetta versione richiede il pagamento di 200 dollari per eseguire l’operazione di sblocco del telefono; nella circostanza, la transazione deve essere effettuata, secondo le intenzioni dei malfattori, utilizzando i voucher MoneyPak. La schermata in cui compare la richiesta di riscatto mostra ugualmente una foto della vittima, scattata con la fotocamera frontale di cui è provvisto il dispositivo mobile. Un ulteriore programma Trojan, denominato ‘Koler‘, la cui esistenza è stata scoperta nel mese di maggio 2014, utilizza, di fatto, il medesimo approccio nocivo: esso blocca, quindi, l’accesso al dispositivo, chiedendo poi il pagamento di un riscatto – il cui importo oscilla tra i 100 ed i 300 dollari USA – per procedere al relativo sblocco dello smartphone sottoposto a contagio informatico. Al pari di Svpeng, il Trojan in causa fa sì che l’utente-vittima visualizzi sul proprio dispositivo un messaggio inviato (in apparenza!) da parte delle forze dell’ordine; il malware mobile Koler ha, quale specifico target, gli utenti situati in oltre 30 paesi del globo ed utilizza versioni localizzate dei falsi messaggi provenienti dalla “cyberpolizia”.

malware_evolution_it_9

Infrastruttura preposta alla distribuzione di Koler

Pletor‘, il primo programma Trojan per Android in grado di criptare i dati custoditi nel dispositivo appartenente al potenziale utente-vittima, ha fatto ugualmente la sua comparsa, sulla scena del malware mobile, nel mese di maggio 2014. Questo Trojan, per codificare il contenuto della memory card del telefono, si avvale dell’algoritmo crittografico AES; in seguito, sullo schermo del dispositivo preso di mira dai malintenzionati compare la consueta richiesta di riscatto; il pagamento della somma estorta potrà così essere realizzato mediante il QIWI wallet Visa di cui dispone l’utente-vittima, oppure attraverso il servizio di pagamento online MoneXy, oppure mediante un semplice trasferimento standard di denaro indirizzato ad uno specifico numero di telefono. Il suddetto programma Trojan attacca principalmente potenziali vittime ubicate sul territorio di Russia ed Ucraina (sono stati tuttavia riscontrati attacchi, da parte di Pletor, anche in altre ex-repubbliche sovietiche), per poi chiedere un riscatto, pari all’equivalente di $ 300, in rubli o grivnie (moneta ufficiale ucraina).

Le operazioni cybercriminali che prevedono il dispiegamento di temibili programmi ransomware si basano proprio sull’auspicato pagamento del riscatto da parte degli utenti-vittima. Non fatelo assolutamente! Eseguite, piuttosto, dei backup regolari dei vostri dati. In questo caso, se mai doveste cadere vittima di un programma ransomware, o doveste magari incontrare un problema hardware che vi impedisce di accedere ai vostri file, non perderete nessuno dei vostri dati.

5. Apriti Sesamo! Quando il malware viene utilizzato per prelevare illegalmente denaro dai bancomat

La notizia relativa all’esistenza di programmi nocivi appositamente creati e sviluppati dai virus writer per consentire ai cybercriminali di sottrarre illecitamente cospicue somme di denaro dagli sportelli bancomat non costituisce ormai un elemento di particolare novità nello scenario globale del malware. Il primo software dannoso riconducibile a tale specifica tipologia, denominato dagli esperti di sicurezza IT con l’appellativo di ‘Skimer‘ è stato individuato già nel corso dell’anno 2009; esso prendeva di mira gli ATM (Automated Teller Machine) situati in determinati paesi dell’Europa Orientale, macchine provviste di sistema operativo basato su Windows. Precisiamo che gli ATM sono, per l’appunto, i sistemi preposti al prelievo automatico di denaro contante dai conti bancari, apparecchi comunemente definiti, in Italia, con il termine convenzionale (anche se improprio) di “bancomat”. La backdoor Skimer si avvaleva di particolari funzioni non documentate sia per stampare i dettagli relativi alle card inserite all’interno della macchina infetta, sia per aprire le cassette mediante l’utilizzo di un apposito comando “master card”. Un ulteriore programma malware specificamente pensato per i sistemi ATM, ovvero ‘SPSniffer‘, è stato poi rilevato in Brasile nell’anno 2010: tale software nocivo provvedeva a raccogliere i numeri PIN relativi ad apparecchi bancomat ormai obsoleti, attraverso l’utilizzo di dispositivi PIN-Pad sprovvisti di un’efficace e robusta protezione crittografica. Lo scorso anno, inoltre, ha fatto la sua comparsa sulla scena del malware “finanziario” un’ulteriore famiglia di software nocivo specializzata nell’attaccare i suddetti sistemi, preposti al prelievo automatico del denaro da parte dei clienti degli istituti bancari e non solo; gli esperti di sicurezza IT hanno appurato che la famiglia di malware in questione – denominata, guarda a caso, ‘Atmer’ – era stata appositamente progettata dai cybercriminali per realizzare il furto di denaro attraverso gli sportelli bancomat installati in Messico.

Nel corso dell’anno oggetto del presente report, a seguito della richiesta effettuata da parte di un’istituzione finanziaria, il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha condotto un’indagine di tipo forense relativamente ad un nuovo attacco cybercriminale lanciato nei confronti di numerosi ATM situati in Asia, Europa ed America Latina. L’operazione criminale in questione viene realizzata in due fasi ben distinte. In primo luogo, i malfattori accedono fisicamente alle macchine automatiche prese di mira, e si servono di un CD avviabile per generare l’installazione del malware in causa, convenzionalmente denominato ‘Tyupkin‘; i malintenzionati effettuano poi il riavvio degli ATM oggetto delle loro losche attenzioni, allo scopo di caricare il malware da essi dispiegato. Attraverso tale operazione, i cybercriminali riescono ad ottenere il pieno controllo degli apparecchi bancomat sottoposti ad attacco. Il malware Tyupkin esegue così un loop (ciclo) infinito, rimanendo in attesa dei comandi che verranno di volta in volta impartiti dai malfattori.

malware_evolution_it_10

Per rendere la truffa meno evidente e cercare, al contempo, di evitare il rilevamento da parte delle soluzioni di sicurezza IT, il malware accetta comandi soltanto ad orari ben specifici di domenica e lunedì notte. I criminali provvedono quindi ad inserire una prima combinazione di cifre mediante la tastiera dell’apparecchio bancomat; una seconda sequenza numerica, da introdurre nell’ATM infetto, viene poi comunicata tramite telefono da parte di un altro cybercriminale in agguato. A questo punto, i malfattori provvedono a raccogliere agevolmente il denaro erogato dal bancomat sottoposto ad attacco.

Le riprese video ottenute grazie alle telecamere di sicurezza installate nei pressi degli apparecchi ATM bersagliati dal malware Tyupkin hanno chiaramente mostrato la particolare metodologia utilizzata dai criminali informatici per cercare di entrare in possesso del denaro contante, attraverso le macchine infettate dal software nocivo qui sopra citato. In sostanza, per ogni sessione praticata dai malfattori viene generata, sul momento, una chiave numerica unica, composta da una combinazione di cifre casuali: ciò serve ad assicurare che nessuno, al di fuori di coloro che compongono la gang cybercriminale, possa trarre accidentalmente profitto dalla frode perpetrata. L’operatore malintenzionato riceve poi precise istruzioni, via telefono, da parte di un altro membro della band, il quale, di fatto, è a conoscenza dell’algoritmo da utilizzare sul momento, ed è quindi in grado di far generare una chiave di sessione, proprio in base al numero specificamente indicato nella circostanza. Si tratta, nella fattispecie, di un’ulteriore misura di “sicurezza” adottata nell’occasione dai criminali informatici, per far sì che i “money mule” preposti al ritiro dei contanti illecitamente sottratti non cerchino di agire per conto proprio. Una volta immessa la session key corretta, l’apparecchio bancomat mostra quanto denaro risulta disponibile in ogni cassetta riservata alla custodia del denaro contante, invitando poi l’operatore a scegliere il numero della cassetta da svuotare. Il sistema ATM infetto eroga, in tal modo, 40 banconote alla volta, provenienti dalla cassetta prescelta dal malintenzionato.

La notevole ripresa degli attacchi informatici, di questi ultimi anni, nei confronti degli ATM, rappresenta una naturale evoluzione di quel particolare metodo criminale, certamente ben più consolidato, che prevede l’utilizzo di skimmer “fisici” per catturare i dati sensibili contenuti nelle card utilizzate nei bancomat sottoposti a manipolazioni e manomissioni da parte di criminali. Occorre purtroppo sottolineare come molti ATM risultino ancora provvisti di sistemi operativi che presentano falle di sicurezza ormai ben note. Tali circostanze rendono il tema della sicurezza fisica ancor più importante; desideriamo pertanto esortare tutti gli istituti bancari a rivedere opportunamente la sicurezza fisica dei propri sportelli bancomat.

6. Windows XP non è più supportato, ma occupa ancora la scena

Il supporto previsto per il sistema operativo Windows XP è stato interrotto lo scorso 8 aprile: ciò significa che, da tale data, non vengono in pratica più rilasciati né nuovi aggiornamenti per la sicurezza, né i consueti hotfix di sicurezza relativi a varie funzionalità dell’OS in questione. Al tempo stesso, la parola “fine” posta da Microsoft riguardo ad XP fa sì che non risultino più disponibili le numerose opzioni originariamente previste per le operazioni di supporto tecnico assistito, gratuite o a pagamento, così come gli update relativi ai contenuti tecnici collocati online. Purtroppo, il fatto è che esiste ancora un numero elevato di persone, nel mondo, le quali continuano ad utilizzare Windows XP; i dati statistici da noi raccolti relativamente al periodo successivo alla fatidica data dell’8 aprile 2014 indicano chiaramente come circa il 18% delle infezioni informatiche causate dai vari tipi di malware abbia avuto luogo proprio sui computer ancora provvisti di Windows XP. Ciò significa, in sostanza, che vi sono attualmente un sacco di persone, ubicate in ogni angolo del globo, che possono essere attaccate dai cybercriminali con maggiore facilità, dal momento che non vengono più rilasciate le abituali patch di sicurezza: in effetti, ogni vulnerabilità scoperta da allora è divenuta, in pratica, una vulnerabilità zero-day, ovvero una falla di sicurezza per la quale non esiste alcuna possibilità di ottenere l’indispensabile patch. Occorre peraltro sottolineare come il problema sopra esposto risulterà progressivamente ancor più aggravato, mano a mano che i vendor delle varie applicazioni decideranno di arrestare lo sviluppo dei rispettivi aggiornamenti per Windows XP. Ogni applicazione sprovvista delle necessarie patch, quindi, diverrà un ulteriore potenziale punto debole, ampliando in tal modo la potenziale superficie di attacco che i malintenzionati potrebbero eventualmente sfruttare. Di fatto, tale processo ha già avuto inizio: l’ultima versione di Java, ad esempio non supporta più Windows XP.

Il passaggio ad un sistema operativo più recente, potrebbe apparire, nella circostanza, come la decisione più ovvia e semplice. Sebbene Microsoft abbia emesso numerosi avvisi e notifiche riguardo alla prevista interruzione del supporto per il suddetto OS, non è difficile comprendere i motivi per i quali la migrazione ad un nuovo sistema operativo possa risultare piuttosto problematica, per alcune imprese. Oltre al costo effettivo da sostenere per l’operazione di switching, tale situazione può ugualmente implicare specifici investimenti a livello di acquisto di nuovo hardware. E non solo: essa può altresì comportare, per certe società, la sostituzione di qualche applicazione sviluppata su misura per tali aziende, programmi che non sarebbero più in grado di funzionare correttamente una volta installato il sistema operativo più recente. Non c’è quindi da meravigliarsi troppo nel vedere alcune organizzazioni decidere di pagare per la continuazione del supporto per l’OS XP.

Naturalmente, un software anti-virus può fornire la protezione IT richiesta. L’affermazione, tuttavia, risulta valida esclusivamente se per “anti-virus” intendiamo un prodotto completo per la sicurezza Internet, che sia in grado di utilizzare le tecnologie proattive per fornire un’adeguata protezione nei confronti delle nuove minacce informatiche, ancora sconosciute – e possieda quindi, in particolar modo, l’apposita funzionalità che impedisce l’utilizzo degli exploit da parte dei cybercriminali. Un prodotto anti-virus di base, il cui funzionamento poggia in gran parte solo sui processi di scansione realizzati mediante le firme dei virus, relative al malware già noto, si rivela invece insufficiente. Occorre inoltre tener ben presente il fatto che, con il trascorrere del tempo, i vendor di sicurezza IT implementeranno di sicuro nuove tecnologie di protezione, le quali potrebbero, molto probabilmente, risultare non compatibili con Windows XP.

Nella migliore delle ipotesi, la situazione sopra descritta dovrebbe essere vista, da parte di coloro che continuano ad utilizzare Windows XP, come una sorta di soluzione provvisoria, mentre viene finalizzata al meglio la strategia prevista per realizzare il processo di migrazione verso il nuovo sistema operativo. I virus writer, da parte loro, approfitteranno di sicuro dell’occasione per prendere di mira Windows XP, visto che un significativo numero di persone, nel mondo, continua tuttora ad avvalersene; un OS privo di nuove patch, in effetti, offre senza dubbio ai malintenzionati una gamma ben più ampia di opportunità nocive. D’altronde, all’interno di un network aziendale, qualsiasi computer basato su Windows XP rappresenta ormai un potenziale punto debole, che potrebbe magari essere sfruttato nel corso di un attacco mirato nei confronti della società; una volta compromesso dal malware, il computer violato diverebbe, pertanto, una sorta di trampolino di lancio, utilizzato dai cybercriminali di turno per potersi agevolmente introdurre all’interno di un’ampia infrastruttura informatica.

Indubbiamente, l’effettuare il passaggio ad un sistema operativo più recente può rivelarsi piuttosto scomodo e fastidioso, nonché relativamente costoso, sia per gli utenti privati che per gli utenti corporate.
Il potenziale rischio che comporta l’utilizzo di un sistema operativo destinato a divenire di giorno in giorno sempre più insicuro, tuttavia, va con ogni probabilità ben oltre le naturali problematiche legate agli inconvenienti ed ai costi che si presentano per realizzare la migrazione verso il nuovo OS.

7. Sbucciando la “cipolla”…

Tor (acronimo di “The Onion Router”) è un software appositamente progettato per garantire una perfetta condizione di anonimato nel momento in cui si accede ad Internet. Tale sistema di comunicazione è stato creato già da diverso tempo, ma per molti anni è rimasto quasi esclusivamente ad appannaggio di un ristretto pubblico di esperti ed appassionati. L’utilizzo della rete Tor è considerevolmente aumentato proprio nel corso di questo ultimo anno, soprattutto a causa delle crescenti problematiche e preoccupazioni riguardo alla delicata questione della privacy. Tor è in pratica divenuta un’utile soluzione per tutti coloro che, per qualsiasi motivo, temono l’applicazione di procedure di sorveglianza, così come la possibile fuga di informazioni di natura confidenziale e riservata. Appare tuttavia più che evidente, sulla base delle indagini da noi recentemente condotte, come Tor risulti particolarmente attraente anche per le folte schiere dei cybercriminali che frequentano i meandri della Rete: come era lecito attendersi, anche tale categoria di malintenzionati sembra apprezzare in maniera particolare l’anonimato offerto dall’innovativo sistema di comunicazione.

Abbiamo iniziato ad osservare, già nel 2013, come un crescente numero di cybercriminali utilizzasse Tor per ospitare infrastrutture nocive dedicate al malware; al tempo stesso, gli esperti di Kaspersky Lab sono riusciti ad individuare vari programmi maligni che si avvalevano specificamente dell’utilizzo di Tor. Le indagini da noi condotte riguardo alle risorse presenti nell’ambito del network Tor hanno di fatto rivelato l’esistenza, oltre al malware, di un elevato numero di risorse esplicitamente sfruttate per attività di natura cybercriminale, incluso server C&C di comando e controllo, pannelli di amministrazione ed altro ancora. Ovviamente, collocando i propri server all’interno della rete Tor, i criminali informatici rendono particolarmente complessa l’identificazione e la rimozione degli stessi, così come l’inserimento di tali server malevoli in apposite blacklist. Come è noto, i forum ed i negozi online frequentati dai criminali dediti al cybercrimine sono ormai divenuti, purtroppo, una spiacevole consuetudine. Di recente, tuttavia, è ugualmente emersa l’esistenza di uno specifico mercato underground basato sul sistema Tor, nell’ambito del quale i malintenzionati eseguono, ad esempio, operazioni di acquisto e vendita di programmi malware, così come dei dati personali via via carpiti agli utenti-vittima. Lo sviluppo della rete Tor ha coinciso con l’emergere, sulla scena della finanza digitale, del Bitcoin, l’ormai celebre criptovaluta in grado di garantire trasferimenti di moneta elettronica protetti dall’anonimato. In pratica, al momento attuale, quasi ogni prodotto o servizio offerto attraverso la rete Tor viene acquistato o venduto mediante l’utilizzo del Bitcoin. Risulta quasi impossibile collegare un portafoglio Bitcoin ad una persona reale, per cui, il fatto stesso di eseguire transazioni sulla Darknet in questione avvalendosi della moneta Bitcoin, significa che, in sostanza, le operazioni compiute da un cybercriminale sono destinate a rimanere virtualmente non tracciabili. La rete anonima Tor costituisce quindi un meccanismo che esercita, come abbiamo visto sopra, una particolare attrazione nei confronti dei cybercriminali, in quanto tale temibile categoria di malfattori può in tal modo celare al meglio le funzionalità dei programmi malware via via sviluppati, effettuare la compravendita di un’ampia gamma di servizi legati alla sfera della criminalità informatica ed infine – elemento non certo trascurabile – riciclare rapidamente il denaro ricavato attraverso i profitti illeciti realizzati.

Nello scorso mese di luglio gli esperti di Kaspersky Lab hanno pubblicato una dettagliata analisi riguardo ad un particolare Trojan “estorsore”, denominato ‘Onion’; tale ransomware si caratterizza proprio per il fatto di aver decisamente tracciato una nuova strada relativamente all’utilizzo della rete Tor da parte del malware.

Nel periodo oggetto della nostra analisi, hanno ugualmente iniziato ad utilizzare la rete anonima Tor gli sviluppatori di programmi malware appositamente progettati per attaccare la piattaforma mobile Android. Il Trojan Torec, ad esempio, variante maligna del popolare client Tor denominato Orbot, si avvale di uno specifico dominio situato nella pseudo zona <.onion>, utilizzato in qualità di server di comando e controllo (C2). Alcune varianti del famigerato Trojan ransomware conosciuto come Pletor, inoltre, ricorrono ugualmente alla rete Tor per comunicare con i cybercriminali che tengono le fila dell’attività perpetrata a danno degli utenti mobile.

I criminali informatici, tuttavia, non possono sempre operare impunemente, e quindi farla facilmente franca, nonostante l’ampio uso che viene da essi fatto della rete Tor; ciò è dimostrato in maniera netta ed inequivocabile dalla recente operazione globale condotta congiuntamente in numerosi paesi, da parte di forze di cyberpolizia ed agenzie giudiziarie, nei confronti di vari servizi cybercriminali basati sull’utilizzo di Tor (‘Operation Onymous‘).

malware_evolution_it_11

Questo, tuttavia, ha inevitabilmente sollevato – allo stesso tempo – la questione inerente alle specifiche modalità attraverso le quali, le agenzie di polizia coinvolte nella suddetta operazione, sono state in grado di “compromettere” una rete apparentemente impenetrabile; almeno in teoria, in effetti, non esiste alcun modo per giungere a conoscere la locazione fisica di un server web che si cela dietro un servizio nascosto, che qualcuno visita. Esistono, però, alcune particolari modalità di cui potersi avvalere per cercare di violare un servizio nascosto, le quali non consistono, tuttavia, nell’attaccare direttamente l’architettura Tor stessa, come ampiamente discusso nel recente post pubblicato nel mese di novembre 2014 all’interno del nostro blog dedicato alle tematiche di sicurezza IT. Un servizio basato sulla rete anonima Tor può di fatto rimanere “sicuro” soltanto se risulta correttamente configurato, se è esente da vulnerabilità o errori di configurazione, e se l’applicazione web, infine, non presenta alcuna falla di sicurezza.

8. Il buono, il brutto e il cattivo

Il software, purtroppo, non presenta una linea di demarcazione netta tra programmi “buoni” e programmi “cattivi”. Vi è in effetti sempre il rischio latente che un software sviluppato per scopi del tutto legittimi possa essere invece utilizzato per scopi impropri o dannosi da parte di qualche cybercriminale. Nello scorso mese di febbraio, in occasione del Kaspersky Security Analyst Summit 2014, tenutosi nella Repubblica Dominicana, abbiamo a più riprese sottolineato come un’implementazione impropria delle tecnologie anti-furto di cui è provvisto il firmware installato nei computer laptop comunemente utilizzati, nonché in alcuni computer desktop, potrebbe di fatto divenire una potente arma nelle mani dei cybercriminali. La nostra ricerca in materia ha avuto inizio nel momento stesso in cui un collaboratore di Kaspersky Lab si è trovato di fronte a ripetuti crash del processo di sistema su uno dei suoi laptop personali. La tempestiva analisi del registro degli eventi ed un provvidenziale dump di memoria hanno rivelato come i crash in questione fossero provocati dall’instabilità riscontrata a livello dei moduli denominati <identprv.dll> e <wceprv.dll>, caricati nello spazio degli indirizzi di uno dei processi host del servizio di sistema (<svchost.exe>). È poi emerso che i moduli in questione erano stati creati da Absolute Software – corporation di primaria importanza, del tutto legittima, operante nel settore IT – e facevano parte del software denominato Absolute Computrace. Nella circostanza, il nostro collega ha fatto presente come egli non avesse mai provveduto ad installare tale software e non fosse nemmeno a conoscenza dell’eventuale presenza di quest’ultimo all’interno del proprio laptop. Ovviamente, questo ha destato serie preoccupazioni, poiché, secondo uno specifico white paper pubblicato da Absolute Software sul proprio sito web, l’installazione del suddetto software dovrebbe essere esclusivamente eseguita dal proprietario del computer o, in alternativa, dal servizio IT allestito dalla società in questione. Oltre a ciò, mentre la maggior parte del software pre-installato può essere rimossa o disabilitata in maniera permanente dal proprietario stesso del computer, l’agente Computrace è stato appositamente progettato per “sopravvivere” sia ad operazioni di pulizia del sistema eseguite a livello professionale, sia, addirittura, ad un’eventuale sostituzione del disco rigido. Per di più, non potevamo semplicemente liquidare l’episodio come se si fosse trattato di un evento “una tantum”, visto che, nel frattempo, erano emersi ulteriori indizi, del tutto analoghi, riguardo alla presenza del software Computrace sia all’interno di computer privati appartenenti ad alcuni dei nostri ricercatori, sia in vari computer aziendali. Abbiamo così deciso di effettuare un’approfondita analisi in merito a quanto era così sorprendentemente accaduto.

Quando abbiamo esaminato per la prima volta Computrace abbiamo erroneamente pensato che si trattasse di un software dannoso, in quanto esso si avvale di numerosi strumenti e funzionalità particolarmente diffusi nell’ambito del malware attualmente in circolazione. In effetti, in passato, il software in questione è stato a volte rilevato come malware; attualmente, la maggior parte delle società produttrici di soluzioni antivirus colloca tuttavia in whitelist i file eseguibili Computrace.

Riteniamo, da parte nostra, che l’agente Computrace sia stato effettivamente progettato e sviluppato dalla software house sopra menzionata sulla base di ottime intenzioni. Le indagini da noi condotte dimostrano tuttavia come determinate vulnerabilità individuate nel software potrebbero di fatto consentire ai cybercriminali di effettuare un uso improprio ed illecito dello stesso. A nostro avviso, in un tool così potente, dovrebbero essere giocoforza incorporate tecnologie particolarmente solide a livello di meccanismi di autenticazione e codifica. Precisiamo, ad ogni caso, che non è stata trovata alcuna prova del fatto che i moduli riconducibili al software Computrace siano stati segretamente attivati sui computer da noi sottoposti ad analisi. È tuttavia evidente come vi sia un elevato numero di computer sui quali risultano attivati gli agenti Computrace. Riteniamo che sia preciso compito dei produttori e, al contempo, di Absolute Software, provvedere ad avvisare gli utenti interessati, spiegando loro come poter disattivare il software nel caso in cui questi ultimi non desiderino farne uso. In caso contrario, questi agenti rimasti “orfani” continueranno ad essere operativi ad insaputa dell’utente, fornendo indesiderate opportunità di sfruttamento da remoto da parte di malintenzionati.

Nello scorso mese di giugno sono stati da noi pubblicati i risultati relativi alla nostra ricerca condotta riguardo al software “legale” denominato Remote Control System (RCS), sviluppato dalla nota società italiana HackingTeam. Innanzitutto, i nostri esperti hanno individuato una singolare caratteristica di tale programma, la quale può essere utilizzata per rilevare la fingerprint (impronta digitale) inerente ai server di comando e controllo (C2) di cui si avvale, in tutto il mondo, il software Remote Control System. L’utilizzo di tale metodo ha consentito di poter effettuare la scansione dell’intero spazio IPv4; questo ci ha permesso di determinare con certezza tutti gli indirizzi IP relativi ai server C2 del software RCS, ubicati in tutto il mondo. In totale, ne sono stati rilevati ben 326; la maggior parte di essi è risultata situata negli Stati Uniti, nel Kazakhstan ed in Ecuador. Per numerosi indirizzi IP è stata identificata una precisa correlazione con determinate ‘entità governative’, sulla base delle informazioni WHOIS via via recuperate. Di certo, non possiamo essere pienamente sicuri del fatto che i server situati sul territorio di uno specifico paese vengano poi di fatto utilizzati proprio dalle autorità e dalle forze dell’ordine di quel paese stesso; in tutto ciò, si possono tuttavia individuare un filo logico ed un senso ben precisi: tale situazione, dopo tutto, permetterebbe di evitare qualsiasi problema di natura legale connesso a specifiche circostanze transnazionali, così come di scongiurare il rischio che tali server possano essere in qualche modo “sequestrati” da altri. Gli esperti di Kaspersky Lab hanno ugualmente individuato una serie di moduli per malware mobile, provenienti da HackingTeam, e destinati alle piattaforme Android, iOS, Windows Mobile e BlackBerry. Tali moduli vengono tutti quanti controllati tramite l’utilizzo di un identico tipo di configurazione; si tratta, ovviamente, di un’ottima indicazione riguardo al fatto che essi presentano evidenti correlazioni tra di loro ed appartengono alla medesima famiglia di prodotti. Non costituisce di sicuro motivo di particolare meraviglia il fatto che i nostri esperti si siano mostrati particolarmente interessati proprio ai moduli relativi ai sistemi operativi mobile Android ed iOS, vista la grande popolarità e la vasta diffusione di tali piattaforme presso il pubblico degli utenti.

I moduli in questione vengono installati medianti appositi infector (agenti infettanti), speciali programmi eseguibili appositamente sviluppati sia per Windows che per Mac OS, i quali sono in grado di girare, tuttavia, soltanto su computer infetti, già sottoposti a contagio informatico. Il modulo destinato al sistema operativo iOS supporta, da parte sua, esclusivamente dispositivi mobili sottoposti, in precedenza, a procedure di jailbreaking. Di fatto, tale specifica caratteristica ne limita considerevolmente le capacità di diffusione; ad ogni caso il particolare metodo di infezione utilizzato da RCS fa sì che un criminale possa eseguire un tool (quale, ad esempio, Evasi0n) che consente di avviare da remoto una procedura di jailbreaking direttamente attraverso il computer infettato in precedenza, al quale venga di fatto collegato lo smartphone, purché, ovviamente, il dispositivo mobile non risulti bloccato. Il modulo appositamente predisposto per il sistema operativo iOS permette all’hacker di accedere ai dati custoditi sul dispositivo mobile (incluso e-mail, contatti, cronologia delle chiamate telefoniche, pagine web ospitate nella cache), così come di attivare segretamente il microfono e di realizzare regolari scatti attraverso la fotocamera in dotazione. Tutto ciò garantisce il completo controllo dell’intero ambiente, sia interno che prospiciente al computer-vittima.

Il modulo appositamente sviluppato per la piattaforma Android risulta protetto da DexGuard, dotato di specifiche funzioni di ottimizzatore/offuscatore; la relativa analisi si è pertanto rivelata di particolare difficoltà. Siamo stati tuttavia in grado di determinare che esso si relaziona perfettamente alla funzionalità del modulo iOS, ed offre, al tempo stesso, un supporto aggiuntivo per poter intercettare e dirottare le informazioni provenienti dalle seguenti applicazioni: ‘com.tencent.mm’, ‘com,google,android,gm’, ‘android,calendar’, ‘com,facebook’, ‘jp,naver,line,android’ e ‘com,google.android,talk’.

I nuovi dati raccolti hanno evidenziato in maniera inequivocabile l’elevato grado di sofisticatezza attualmente posseduto da tali strumenti di sorveglianza. La policy adottata da Kaspersky Lab in relazione a tool del genere è estremamente chiara. Da parte nostra, cerchiamo di rilevare, e ci adoperiamo per risolvere, qualsiasi attacco malware, indipendentemente dall’origine dello stesso o dallo scopo per il quale l’attacco è stato lanciato. Per noi, non esiste in alcun modo il concetto di malware “giusto” e di malware “sbagliato”; in passato, tra l’altro, abbiamo pubblicato specifici avvertimenti riguardo ai rischi connessi all’utilizzo del cosiddetto spyware “legale”. È tuttavia assolutamente indispensabile che tali strumenti di sorveglianza non cadano nelle mani sbagliate; è per tale motivo che l’industria della sicurezza IT non può praticare alcun tipo di eccezione, quando si tratta di individuare il malware.

9. Privacy e sicurezza

Lungo tutto l’arco del periodo qui esaminato, la crescente “tensione” che, inevitabilmente, è destinata a manifestarsi tra problematiche legate alla privacy degli utenti ed i temi inerenti alla sicurezza degli stessi, ha continuato ad essere al centro delle attenzioni della comunità IT internazionale, ed a fare, quindi, decisamente notizia in più di una occasione.

Non costituisce poi motivo di evidente sorpresa il fatto che quest’anno, nel flusso degli episodi legati alle tematiche della sicurezza web e delle fughe di dati, l’incidente che ha maggiormente attirato l’attenzione di utenti ordinari ed esperti di tutto il mondo sia proprio quello rappresentato dal furto e conseguente pubblicazione di fotografie esplicite riguardanti varie celebrità hollywoodiane. Questa singolare “storia” di sicurezza IT pone nettamente in risalto la duplice responsabilità, da parte dei provider e dei singoli utenti, riguardo alla delicata questione legata all’effettiva sicurezza dei dati personali e confidenziali custoditi online. Pare che il furto dei dati in questione sia stato reso possibile dalla presenza di una particolare lacuna, a livello di sicurezza, nello storage iCloud, l’insieme dei servizi di cloud computing sviluppati da Apple. In effetti, l’interfaccia di ‘Find My iPhone’ – il servizio che consente di localizzare lo smartphone smarrito dall’utente – non era provvista di alcuna limitazione relativamente al possibile numero di tentativi di inserimento della password; tale specifica circostanza ha consentito agli aggressori di sottoporre le password delle potenziali vittime ad un attacco di tipo “brute-force”. Apple, tuttavia, ha rapidamente rimediato a tale mancanza. Il fatto è che, comunque, l’attacco in questione non sarebbe risultato possibile se le vittime non avessero utilizzato password “deboli”. Al giorno d’oggi, le nostre vite si stanno proiettando online in misura sempre maggiore. Molti di noi, ad ogni caso, non prendono debitamente in considerazione le delicate implicazioni derivanti dal custodire online i propri dati personali. Il livello di sicurezza di un servizio cloud dipende, come è noto, dal provider dello stesso. Nel preciso momento in cui noi affidiamo i nostri dati confidenziali ad un servizio fornito da terze parti, perdiamo, automaticamente, un certo grado di controllo su di essi. Si rivela pertanto di estrema importanza selezionare con grande accuratezza i dati che andremo a depositare nella nuvola telematica; al tempo stesso, dobbiamo decidere con la dovuta attenzione quali sono i dati che verranno periodicamente trasferiti dai nostri dispositivi al cloud.

La questione della scelta delle password da parte degli utenti è, di fatto, un tema che emerge in continuazione. Se noi scegliamo una password che può essere facilmente individuata dai malintenzionati, ci esponiamo chiaramente in misura maggiore ad un possibile furto di identità. Il problema si aggrava ulteriormente qualora una stessa identica password venga da noi “riciclata” nell’ambito di molteplici account online; in effetti, nel caso in cui uno di questi ultimi venga violato dai malfattori, tutti, proprio tutti i nostri account risulteranno esposti ad un effettivo rischio di sicurezza! Questo è il motivo per cui molti provider, tra cui Apple, Google e Microsoft, mettono adesso a disposizione dei propri utenti il sistema di autenticazione a due fattori, tramite il quale – per poter accedere ad un determinato sito web, oppure per apportare modifiche alle impostazioni del proprio account – viene richiesto, al cliente, di inserire un codice di sicurezza generato da un token hardware, oppure di introdurre un codice segreto appositamente trasmesso ad un dispositivo mobile. L’autenticazione a due fattori incrementa di certo il livello di sicurezza dell’utente, ma solo nel caso in cui l’utilizzo di tale sistema venga effettivamente richiesto, risultando quindi obbligatorio – e non rappresenti, invece, una scelta opzionale.

Di fatto, esiste sempre una sorta di compromesso tra sicurezza e facilità d’uso. Nel tentativo di regolare al meglio tale delicato equilibrio, Twitter ha lanciato, di recente, il proprio servizio denominato Digits. I clienti, in tal modo, non hanno più bisogno di creare la consueta combinazione di username e password per accedere ad applicazioni di terze parti. Risulta difatti sufficiente, per far ciò, inserire il proprio numero di telefono. Gli utenti ricevono quindi un codice di accesso monouso, per confermare ogni transazione effettuata; il codice in questione viene automaticamente letto dall’applicazione. Twitter fa in pratica da tramite, provvedendo a verificare l’identità del cliente per l’app provider stesso. Tale innovativo sistema di sicurezza presenta numerosi vantaggi. In primo luogo, gli utenti non si debbono più preoccupare di creare un’apposita combinazione di login e password – processo a volte fastidioso e time consuming – per aprire un account presso un provider di applicazioni. Gli sviluppatori di app, da parte loro, non hanno più bisogno di allestire il proprio framework per procedere alla verifica dei login; oltre a ciò, essi non perdono, di fatto, quei potenziali clienti che, magari, non fanno uso dei sistemi di posta elettronica. Twitter, da parte sua, acquista maggiore visibilità riguardo a ciò di cui effettivamente si interessano i propri clienti. Un ulteriore innegabile vantaggio è inoltre rappresentato dal fatto che, con il servizio Digits, nessuna password viene più custodita sul server del provider di applicazioni. Così, un’eventuale fuga di dati che si verifichi sul server dell’app provider non comporterà in alcun modo la perdita dei dati personali relativi ai clienti di quest’ultimo. Ad ogni caso, se qualcuno smarrisce il proprio dispositivo, o se lo stesso viene rubato, il sistema di verifica implementato in precedenza dall’utente risulterà comunque ancora attivo; quindi, chiunque abbia accesso al dispositivo mobile sarà in grado di poter accedere ad un’applicazione nello stesso identico modo del legittimo proprietario dell’apparecchio. Questo non significa, tuttavia, che il servizio in questione rappresenti, in qualche modo, un passo indietro a livello di sicurezza, rispetto al tradizionale metodo che prevede, per l’utente, l’impiego di username e password. Attualmente, le applicazioni mobili non richiedono in modo obbligatorio l’effettuazione del login ogni volta che l’applicazione stessa viene eseguita; tuttavia, se qualcuno realizza il furto del telefono cellulare, ed il proprietario non fa uso di PIN, codice di accesso o fingerprint (impronte digitali), il ladro potrà avere agevolmente accesso, in maniera indiscriminata, a tutte le risorse presenti sul dispositivo mobile, quali e-mail, social network ed applicazioni installate. In altre parole la sicurezza dell’utente dipende, in pratica, da un unico esclusivo fattore, ovvero PIN, codice di accesso o fingerprint utilizzati per accedere al dispositivo mobile.

In risposta alle crescenti preoccupazioni riguardo al tema della privacy, gli sviluppatori del sito web ‘pwnedlist.com’ hanno creato un’interfaccia di facile utilizzo, attraverso la quale gli utenti Internet possono controllare se i loro indirizzi di posta elettronica, così come le loro password, siano stati oggetto o meno di furto da parte di malintenzionati e, di conseguenza, siano stati successivamente pubblicati online. Il
servizio in questione, a partire da quest’anno, prevede anche specifiche formule a pagamento.

La risposta fornita da Apple e Google riguardo ai crescenti timori e preoccupazioni inerenti alla perdita della privacy da parte degli utenti è stata quella di attivare, di default, la codifica dei dati custoditi sui dispositivi iOS e Android; si tratta di una decisione che, secondo alcune agenzie operanti nel campo delle forze dell’ordine, può tuttavia giocare involontariamente a favore dei cybercriminali, poiché in tal modo, per i malintenzionati, può risultare ben più agevole eludere il rilevamento, da parte delle forze di cyberpolizia, delle attività criminose da essi svolte.

10. Lotta contro il cybercrimine: la cooperazione globale produce risultati positivi

Il cybercrimine è ormai divenuto un temibile elemento con il quale, purtroppo, ci dobbiamo spesso confrontare durante lo svolgimento delle varie attività che ogni giorno, in misura sempre maggiore, conduciamo online. Si potrebbe quindi essere indotti a ritenere che i cybercriminali siano in grado di operare impunemente sugli scenari globali del malware; la pronta ed efficace azione svolta congiuntamente dalle forze dell’ordine e dagli organi competenti può tuttavia avere un impatto di particolare rilevanza sulle attività nocive condotte quotidianamente dai criminali informatici. Da questo punto di vista, si rivela essere particolarmente importante la cooperazione intrapresa su scala internazionale, vista la natura globale del crimine informatico. Nel corso dell’anno oggetto del presente report, dedicato all’analisi degli eventi chiave che hanno definito il panorama delle minacce IT nel 2014, sono stati riscontrati alcuni successi di notevole portata, conseguiti dalle forze di cyberpolizia.

Nello scorso mese di giugno, ad esempio, un’operazione condotta congiuntamente dalle forze dell’ordine di numerosi paesi, alla quale hanno ugualmente partecipato la National Crime Agency (NCA) del Regno Unito e l’FBI statunitense, ha prodotto, quale risultato, lo smantellamento della rete globale di computer responsabili della gestione della botnet ‘GameoverZeus‘. L’estesa operazione di polizia, denominata in codice ‘Operation Tovar’, ha scardinato, in pratica, il sistema di comunicazioni che costituiva la base su cui poggiava il funzionamento di tale rete-zombie, impedendo di fatto ai cybercriminali di poter controllare e gestire la botnet da essi creata. GameoverZeus rappresentava, di fatto, una delle più vaste botnet operative basate sul codice nocivo di cui è composto il famigerato Trojan bancario Zeus. Oltre ad infettare i computer degli utenti-vittima mediante il dispiegamento del Trojan Zeus, ed a realizzare il furto delle credenziali di login relative ad account e-mail online, social network, sistemi di banking online ed altri servizi finanziari online, la suddetta botnet era ugualmente specializzata nel distribuire ‘Cryptolocker‘, temibilissimo programma ransomware. La campagna condotta dalle forze di cyberpolizia ha fatto sì che le vittime della rete-zombie in questione potessero disporre di un certo lasso di tempo per poter effettuare la pulizia dei propri computer.

Alcuni mesi fa, Kaspersky Lab ha fatto parte di una speciale task force composta da forze dell’ordine ed imprese, coordinata dalla National Crime Agency britannica, volta a smantellare le infrastrutture cybercriminali sulle quali poggiava il famigerato malware denominato ‘Shylock’. Anche tale partnership ha chiaramente dimostrato come la cooperazione globale, a livello di lotta nei confronti del cybercrimine, possa produrre risultati decisamente positivi. Il Trojan bancario Shylock – che deve il nome ai brani tratti da Il Mercante di Venezia di Shakespeare contenuti all’interno del proprio codice – è stato scoperto già nell’anno 2011. Al pari di altri noti Trojan-banker, quali Zeus, SpyEye e Carberp, Shylock provvede a lanciare un attacco del tipo “man-in-the-browser”, attacco informatico appositamente progettato per realizzare il furto, sui computer dei clienti degli istituti bancari, delle credenziali di login utilizzate nel corso delle operazioni di banking online. Il Trojan in questione si avvale di un elenco preconfigurato di banche target, situate in vari paesi del globo.

Concludiamo il nostro consueto report annuale dedicato all’evoluzione del malware sottolineando come, nello scorso mese di novembre, l’operazione globale di cyberpolizia denominata Operation Onymous, della quale abbiamo già riferito in precedenza, abbia prodotto un ulteriore significativo risultato, ovvero lo smantellamento dei vari “dark market” presenti all’interno della rete anonima Tor.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *