Kaspersky Security Bulletin 2014. Uno sguardo nella sfera di cristallo delle APT

Contenuti

Nel corso di questi ultimi anni, il Global Research and Analysis Team (GReAT) di Kaspersky Lab ha fatto luce su alcune delle più estese campagne APT (Advanced Persistent Threat, minacce informatiche di tipo avanzato e persistente), tra cui RedOctober, Flame, NetTraveler, Miniduke, Epic Turla, Careto/Mask ed altre ancora. Studiando ed analizzando tali campagne, abbiamo ugualmente individuato una serie di exploit 0-day, incluso quello comparso più di recente sulla scena del malware globale, ovvero CVE-2014-0546. Siamo anche stati tra i primi a riferire in merito alle tendenze emergenti nel mondo delle APT, quali l’avvento di veri e propri cyber-mercenari, vale a dire piccoli gruppi organizzati di hacker altamente qualificati, specializzati nel fornire, a società ed organizzazioni, servizi commerciali inerenti allo svolgimento di attività cyber-spionistiche. I “mercenari” in questione vengono in genere “assoldati” per lanciare fulminei attacchi, chirurgiche operazioni del tipo “mordi e fuggi” o, come è avvenuto di recente, per eseguire assalti informatici attraverso vettori piuttosto insoliti, quali, ad esempio, le reti Wi-Fi degli hotel. Negli ultimi anni, il team GReAT di Kaspersky Lab ha monitorato l’attività di oltre 60 “attori” del malware globale, operanti a livello di attacchi APT, resisi responsabili di cyber-assalti in ogni angolo del globo; i componenti di tali organizzazioni sembrano, tra l’altro, in grado di potersi esprimere con scioltezza in numerose lingue, quali russo, cinese, tedesco, spagnolo, arabo, persiano e via dicendo.

Osservando da vicino, con la dovuta attenzione, le attività malevole condotte da tali singolari “attori” del malware, gruppi APT che occupano di sicuro un posto di particolare rilievo nel vasto e variegato panorama delle minacce informatiche, abbiamo raccolto un insieme di quelle che sembrano essere, attualmente, le minacce emergenti nell’universo delle “Advanced Persistent Threats”. Riteniamo, a ragion veduta, che nel corso dell’anno 2015 tali minacce IT svolgeranno di sicuro un ruolo di primaria importanza; esse “meritano” quindi un’attenzione particolare, sia dal punto di vista dell’intelligence e della quantità di informazioni divulgate riguardo ad esse, sia relativamente alle tecnologie appositamente progettate e sviluppate per contrastarle e neutralizzarle.

“Fusione” tra cybercrimine e minacce APT

Per molti anni, le gang cybercriminali di ogni latitudine si sono concentrate esclusivamente su attività di natura illecita volte a realizzare il furto delle risorse finanziarie degli utenti finali. Abbiamo così assistito ad una vera e propria “esplosione” di fenomeni criminosi, quali l’insistita sottrazione dei dati sensibili relativi alle carte di credito possedute dagli utenti-vittima, così come la ripetuta violazione degli account utilizzati per le operazioni di pagamento elettronico e per le transazioni eseguite nell’ambito dei sistemi di banking online. Tali specifiche circostanze hanno complessivamente generato, per gli utenti, perdite finanziarie quantificabili in centinaia di milioni di dollari. Al momento attuale, forse, il “mercato” in questione non risulta più così redditizio per i malfattori, o forse, in generale, il mercato della criminalità informatica è ormai semplicemente sovraffollato; il fatto è che, adesso, pare sia realmente in atto, nel settore, una dura lotta per la “sopravvivenza”. E, come di solito avviene, anche tale lotta sta inevitabilmente portando ad una specifica evoluzione.

Cosa attendersi: Nel corso di un incidente informatico oggetto di recenti indagini condotte dagli esperti di Kaspersky Lab, gli attaccanti hanno violato il computer di un esperto di contabilità, ed hanno poi utilizzato la macchina compromessa per eseguire il trasferimento illecito di un’ingente somma di denaro verso il proprio account bancario. Sebbene possa sembrare che non si tratti di qualcosa di particolarmente inusuale, rileviamo da parte nostra, in tale evento, il delinearsi di un’evidente tendenza nel mondo del cybercrimine “finanziario”: Gli attacchi mirati condotti direttamente contro gli istituti bancari, non nei confronti dei clienti di questi ultimi.

È stata di fatto riscontrata, in tutta una serie di incidenti oggetto di specifiche analisi da parte degli esperti del Global Research and Analysis Team di Kaspersky Lab, la violazione dei sistemi informatici di numerose banche, mediante il dispiegamento di metodi direttamente riconducibili alla sfera degli attacchi APT, i temibili assalti IT di natura avanzata e persistente. Una volta che gli aggressori sono riusciti a penetrare all’interno delle reti informatiche degli istituti bancari, essi hanno potuto raccogliere un volume di informazioni sufficiente per permettere loro di compiere il furto di cospicue somme di denaro direttamente a danno delle banche, attraverso varie modalità:

  • Controllo e gestione da remoto dei sistemi ATM (Automated Teller Machine, gli apparecchi comunemente definiti, in Italia, con il termine convenzionale di “bancomat”), per entrare immediatamente in possesso di denaro contante.
  • Esecuzione di trasferimenti SWIFT attingendo dagli account di vari clienti degli istituti bancari.
  • Manipolazione dei sistemi di online banking per eseguire trasferimenti di denaro “in background”.

Tali attacchi rappresentano una chiara indicazione riguardo ad una nuova ed evidente tendenza che sta attualmente caratterizzando lo “stile” di una significativa parte degli assalti APT condotti nel mondo cybercriminale. Come al solito, i criminali informatici prediligono la semplicità: prova ne è il fatto che, adesso, i malfattori in questione sembrano orientati ad attaccare direttamente le banche, ovvero i luoghi dove, effettivamente, viene custodito il denaro. Riteniamo si tratti, nella circostanza, di una tendenza particolarmente degna di nota, la quale, secondo il nostro punto di vista, è destinata a divenire ancor più preminente nel corso del 2015.

Frammentazione dei maggiori gruppi APT

Nel 2014, alcuni importanti gruppi APT sono stati visibilmente “esposti”, da parte di varie fonti, agli occhi dell’opinione pubblica mondiale. Il caso più noto ed eclatante è forse rappresentato dalla messa in stato d’accusa, da parte dell’FBI, di cinque hacker ritenuti responsabili di vari reati informatici:

Kaspersky Security Bulletin 2014. Uno sguardo nella sfera di cristallo delle APT

Il fatto che siano stati rivelati pubblicamente nome, cognome e connotati di sospetti cybercriminali comporterà, con ogni probabilità, un’inevitabile “frantumazione” di alcuni dei raggruppamenti APT più vasti ed attivi; ciò determinerà, quindi, la nascita di unità APT di dimensioni ben più contenute, in grado, tuttavia, di operare in maniera indipendente.

Cosa attendersi: Questo si tradurrà in una più ampia e diffusa base di attacco; ciò significa, quindi, che verrà sottoposto ad assalto informatico un maggior numero di società, enti ed organizzazioni, visto che gruppi APT più piccoli andranno ineluttabilmente a diversificare gli attacchi da essi compiuti. Al tempo stesso, tale specifica circostanza comporterà il fatto che i sistemi informatici delle società di maggiori dimensioni, precedentemente compromessi “soltanto” da due o tre dei principali gruppi APT (quali, ad esempio, Comments Crew e Wekby), potranno essere soggetti ad attacchi di natura più variegata, provenienti da una più ampia gamma di fonti malevole.

Evoluzione delle tecniche del malware

Al pari dei computer, che divengono sempre più sofisticati e potenti, anche i sistemi operativi, a loro volta, stanno progressivamente assumendo un livello di maggiore complessità. Sia Apple che Microsoft, ad esempio, hanno dedicato molto tempo e considerevoli risorse al processo di ulteriore miglioramento della situazione relativa al grado di sicurezza dei loro rispettivi sistemi operativi. Oltre a ciò, risultano attualmente disponibili speciali strumenti ed utility, quali EMET (Enhanced Mitigation Experience Toolkit) di Microsoft, in grado di contribuire ad un’efficace azione di contrasto degli attacchi informatici mirati portati nei confronti delle vulnerabilità del software.

Kaspersky Security Bulletin 2014. Uno sguardo nella sfera di cristallo delle APT

Con la progressiva diffusione di Windows x64 e dell’OS X Yosemite di Apple, ci attendiamo, parallelamente, l’update dei toolset di cui si avvalgono i gruppi APT, mediante l’introduzione di tecnologie e backdoor più potenti rispetto alle attuali, con il preciso intento di cercare di eludere l’azione di protezione svolta dalle soluzioni di sicurezza IT implementate nei sistemi sottoposti ad attacco.

Cosa attendersi: Al giorno d’oggi stiamo già vedendo come i gruppi APT stiano costantemente dispiegando programmi malware destinati ai sistemi operativi a 64 bit, incluso i famigerati rootkit a 64 bit. Per il 2015, ci attendiamo di vedere “impianti” di malware ancora più sofisticati rispetto a quelli attualmente in auge, così come l’impiego, da parte dei malintenzionati, di avanzate tecniche malevole volte ad eludere il rilevamento dei software nocivi; per completare il già complesso e vasto scenario, è lecito prevedere un maggiore utilizzo dei file system virtuali (come quelli di cui si avvalgono Turla e Regin), allo scopo di celare l’utilizzo di “preziosi” tool maligni e cercare di nascondere i dati sensibili illecitamente sottratti agli utenti.

Mentre si prospetta un incremento del numero delle tecnologie avanzate di cui si avvarranno i cybercriminali nel corso del prossimo anno, così come un significativo aumento del grado di sofisticatezza di queste ultime, si assiste tuttavia, in maniera parallela, ad una sorta di marcia in senso contrario da parte di alcuni attaccanti. Questi ultimi agiscono, ad ogni caso, all’interno di un quadro piuttosto contraddittorio e contrastante: da un lato, tali aggressori cercano di ridurre al minimo le quantità di exploit e di codice nocivo compilato che complessivamente introducono nelle reti compromesse dal malware; dall’altro lato, il loro “lavoro” continua a richiedere, ad ogni caso, l’utilizzo di codice dannoso particolarmente sofisticato, al pari di una costante immissione di exploit nei network aziendali, di avanzati script tool, di tentativi di scalare privilegi di ogni genere, del ripetuto furto delle credenziali di accesso di cui si fa uso nell’ambito delle organizzazioni-vittima.

Come abbiamo visto relativamente al temibile toolkit cybercriminale denominato BlackEnergy 2 (BE2), gli attaccanti, una volta scoperti, cercheranno comunque di “difendere” attivamente la loro presenza e la loro identità all’interno dei network aziendali precedentemente compromessi. Le specifiche tecniche di persistenza da essi adottate, in effetti, stanno divenendo sempre più avanzate ed estese. Questi stessi gruppi, di fatto, intensificheranno la quantità e l’aggressività dei componenti distruttivi “last effort” dispiegati per coprire le loro tracce; in tal modo, gli attori del malware in questione amplificheranno l’utilizzo del supporto *nix, delle apparecchiature di rete e del supporto integrato del sistema operativo. Abbiamo già assistito, a tal proposito, a sviluppi del genere, nel caso di BE2, Yeti e Winnti.

Nuovi metodi di esfiltrazione dei dati

Sono davvero ormai lontani nel tempo quei giorni in cui gli attaccanti, mediante la semplice attivazione di una backdoor nell’ambito di un network aziendale, iniziavano a travasare terabyte di informazioni dirette a server FTP ubicati in tutto il mondo. Al giorno d’oggi, gruppi cybercriminali ben più sofisticati fanno regolarmente uso del protocollo SSL (Secure Sockets Layer), unitamente a particolari protocolli di comunicazione personalizzati.

Alcuni dei gruppi APT maggiormente all’avanguardia, poi, basano la conduzione dei loro attacchi nel sottoporre i dispositivi di rete all’azione dannosa di apposite backdoor, ed intercettano inoltre il traffico direttamente per i comandi. Altre tecniche malevole da noi analizzate includono l’esfiltrazione dei dati trasmessi ai servizi cloud, ad esempio tramite l’utilizzo del protocollo WebDAV (Web-based Distributed Authoring and Versioning), il quale facilita la collaborazione tra utenti nel processo di allestimento e gestione dei documenti e dei file custoditi sui server web.

L’impiego delle suddette tecnologie nocive da parte dei malintenzionati ha indotto molte aziende a vietare, all’interno delle proprie reti informatiche, il ricorso a servizi cloud pubblicamente accessibili, quali Dropbox. Quello sopra descritto rimane tuttavia un metodo particolarmente efficace sia per bypassare l’azione protettiva esercitata dai sistemi di rilevamento delle intrusioni, sia per eludere le temute blacklist DNS.

Cosa attendersi: Nel 2015, un numero maggiore di gruppi APT ricorrerà all’utilizzo dei servizi cloud, con il preciso intento di rendere il processo di esfiltrazione dei dati ancora più subdolo e furtivo e, al tempo stesso, ancor più difficile da rilevare.

Nuovi attori APT provenienti da aree geografiche insolite, visto il progressivo aumento del numero dei paesi coinvolti nella corsa ai cyber-armamenti

Nel mese di febbraio 2014 abbiamo pubblicato i risultati dell’indagine da noi condotta riguardo alla complessa ed estremamente sofisticata campagna di cyber-spionaggio denominata Careto/Mask, operazione riconducibile al composito quadro delle minacce informatiche di tipo avanzato e persistente; è emerso, tra l’altro, come gli attori APT in causa fossero, a quanto pare, in grado di parlare fluentemente lo spagnolo, una lingua vista davvero di rado nell’ambito degli attacchi mirati. Nel successivo mese di agosto, abbiamo poi riferito in merito a Machete, un’estesa campagna di attacchi mirati in cui si è fatto ampio uso della lingua spagnola.

Prima di allora, eravamo di fatto abituati ad osservare attori ed operatori APT in grado di potersi esprimere con scioltezza in (relativamente) poche lingue. Oltre a ciò, occorre sottolineare come molti professionisti del settore non utilizzino affatto la propria lingua madre, preferendo scrivere, piuttosto, in un perfetto inglese.

Lungo tutto l’arco dell’anno 2014, è stato da noi rilevato come numerose nazioni, in tutto il mondo, abbiano pubblicamente espresso il loro interesse riguardo allo sviluppo di specifiche capacità e conoscenze nell’ambito delle APT.

Kaspersky Security Bulletin 2014. Uno sguardo nella sfera di cristallo delle APT

Cosa attendersi: Sebbene, per il momento, non sia stata ancora osservata la conduzione di attacchi APT in lingua svedese, prevediamo, per l’anno a venire, che un numero maggiore di nazioni si unirà, inevitabilmente, alla corsa ai cyber-armamenti, sviluppando, nell’occasione, particolari abilità e potenzialità nel delicato e complesso campo del cyber-spionaggio.

Utilizzo di operazioni “false flag” negli attacchi informatici

Gli attaccanti, piuttosto di frequente, commettono degli errori. Nella stragrande maggioranza dei casi da noi analizzati, in effetti, osserviamo la costante presenza di elementi ed oggetti che forniscono precisi indizi riguardo alla lingua effettivamente parlata dagli aggressori. Per esempio, nel caso di RedOctober ed Epic Turla, siamo giunti alla probabile conclusione che gli attaccanti parlassero fluentemente in russo. Per ciò che riguarda NetTraveler, invece, sono emersi chiari indizi relativamente al fatto che gli aggressori fossero in grado di esprimersi correntemente in lingua cinese.

Inoltre, in alcuni casi, gli esperti osservano ulteriori elementi meta che permettono di trarre significative conclusioni riguardo alla probabile provenienza geografica dei malintenzionati. La conduzione dell’analisi del timestamp del file, relativamente ai vari file utilizzati nel corso di un attacco, può ad esempio consentire di trarre importanti conclusioni riguardo all’area geografica mondiale in cui è stata di fatto compilata la maggior parte dei sample del malware dispiegato.

Gli attaccanti, tuttavia, stanno iniziando a reagire nei confronti di tali specifiche circostanze. Ad esempio, nel 2014, sono state da noi osservate diverse operazioni “false flag”, nel corso delle quali gli attaccanti hanno recapitato alle potenziali vittime dei programmi malware in pratica “inattivi”, comunemente utilizzati da altri gruppi APT. Immaginatevi, dunque, un attore APT di origine occidentale che provvede ad “iniettare” sui computer sottoposti ad attacco del malware di solito utilizzato da “Comment Crew”, il noto gruppo APT cinese. Mentre tutti sono ormai a conoscenza degli “impianti” di malware abitualmente realizzati da Comment Crew, ben poche vittime potrebbero, in realtà, analizzare nuovi sofisticati impianti del genere. Tutto ciò potrebbe facilmente indurre a ritenere, erroneamente, che le vittime dell’ipotetico attacco in questione siano state colpite dal suddetto gruppo cinese, anziché dall’altro attore APT, di provenienza occidentale.

Cosa attendersi: Riteniamo che nel 2015 – con i governi dei vari paesi del globo sempre più inclini a rivelare le generalità ed i connotati degli attaccanti APT via via smascherati, all’evidente scopo di additare gli stessi al pubblico disprezzo – i vari gruppi APT possano ugualmente aggiustare, con particolare cura, il tiro delle operazioni da essi condotte, spargendo i suddetti false flag sul proprio campo d’azione.

Gli attori APT aggiungono gli attacchi mobili al loro già ricco arsenale

Sebbene siano stati già osservati vari episodi in cui determinati gruppi APT hanno provveduto ad infettare i telefoni mobili delle potenziali vittime, tale specifica tendenza, per il momento, non ha ancora assunto contorni di particolare rilevanza. Forse gli attaccanti desiderano entrare in possesso di dati sensibili che, abitualmente, non risultano disponibili sui telefoni cellulari; forse, non tutti gli aggressori hanno accesso alle tecnologie malevole che consentono di poter infettare i dispositivi mobili provvisti di sistema operativo Android e iOS.

Nel 2014, comunque, abbiamo rilevato la presenza, nel vasto panorama delle minacce IT di natura avanzata e persistente, di diversi nuovi tool APT appositamente progettati per generare l’infezione informatica degli apparecchi mobili; citiamo, tra tali strumenti, i moduli per malware mobile facenti parte del software denominato Remote Control System, sviluppato dalla nota società italiana HackingTeam.

Kaspersky Security Bulletin 2014. Uno sguardo nella sfera di cristallo delle APT

Inoltre, durante gli episodi di protesta che hanno avuto luogo ad Hong Kong nel corso del mese di ottobre 2014, sono stati rilevati vari attacchi informatici condotti nei confronti di utenti Android ed iOS, assalti che sembrano essere collegati, a tutti gli effetti, a particolari operazioni APT.

Sebbene un telefono cellulare, con ogni probabilità, non possa di fatto contenere documenti, schemi e progetti di particolare importanza, oppure, addirittura, piani di espansione geopolitica validi per i prossimi 10 anni, esso può comunque costituire una preziosa fonte di contatti, nonché fornire l’opportunità di ascoltare, magari, “interessanti” conversazioni riservate. Tali circostanze sono state ad esempio osservate relativamente alle attività svolte dal famigerato gruppo RedOctober, il quale è stato in grado di infettare anche i telefoni mobili delle vittime predestinate, per trasformare poi gli stessi in “Zakladka”, ovvero bug mobili (precisiamo che “zakladka” è il termine utilizzato, in russo, per indicare un bug).

Cosa attendersi: Prevediamo, per il 2015, un maggiore utilizzo, da parte dei gruppi APT, dei programmi malware appositamente creati per attaccare i dispositivi mobili; gli aggressori concentreranno le loro attenzioni, in particolar modo, sulla piattaforma Android e sui dispositivi dotati di sistema operativo iOS sottoposti, in precedenza, a procedure di jailbreaking da parte degli utenti.

APT+Botnet: accurati attacchi di natura mirata + sorveglianza di massa

In genere, i gruppi APT si dimostrano particolarmente attenti nell’evitare di produrre troppo “rumore” con le operazioni da essi condotte. È questo il motivo per cui il malware utilizzato nel corso degli attacchi APT risulta molto meno diffuso rispetto ai crimeware più ordinari e “popolari”, quali Zeus, SpyEye e Cryptolocker.

Nel corso del 2014 è stato da noi osservato come due noti gruppi APT, denominati, rispettivamente, Animal Farm e Darkhotel, abbiano esplicitamente fatto uso di botnet, o reti-zombie che dir si voglia, in aggiunta alle operazioni mirate da essi regolarmente condotte. Ovviamente, per la loro stessa natura, le botnet possono rappresentare una risorsa vitale nel quadro di una guerra cibernetica, e possono essere inoltre utilizzate per lanciare pesanti attacchi DDoS (Distributed Denial of Service) nei confronti dei paesi ostili; tale scenario, peraltro, si è già verificato, in passato. Alla luce di quanto appena affermato, possiamo quindi comprendere il motivo per cui alcuni gruppi APT, in aggiunta alle operazioni mirate abitualmente condotte, potrebbero voler allestire specifiche botnet.

Oltre all’opportunità di eseguire operazioni di tipo DDoS, le reti-zombie possono ugualmente fornire un ulteriore significativo vantaggio, fungendo da esteso apparato preposto alla sorveglianza di massa entro i confini di qualche paese particolarmente “bisognoso” in merito. Flame e Gauss, ad esempio, malware da noi scoperti nel corso del 2012 – sofisticati strumenti utilizzati nelle campagne globali di spionaggio informatico – sono stati appositamente progettati dai virus writer per operare in qualità di strumento di sorveglianza di massa, allo scopo di raccogliere in maniera automatica informazioni relative a decine di migliaia di vittime. I dati raccolti dovrebbero essere poi analizzati attraverso un supercomputer, indicizzati e raggruppati in base a specifici argomenti e parole chiave; la maggior parte di tali dati, probabilmente, risulterebbe del tutto inutile. Tuttavia, tra centinaia di migliaia di documenti esfiltrati, potrebbe forse essere soltanto uno di essi a fornire dettagli chiave per l’intelligence, e ciò, in situazioni particolarmente difficili e delicate, potrebbe comunque fare la differenza.

Cosa attendersi: Nel 2015, un numero maggiore di gruppi APT abbraccerà tale tendenza, la quale prevede l’utilizzo di accurati attacchi di natura mirata unitamente alla conduzione di operazioni decisamente più “rumorose”; gli attori APT, inoltre, allestiranno reti botnet proprie.

Le reti degli hotel quale target

Il gruppo Darkhotel è un attore APT conosciuto per aver preso di mira, in una serie ben definita di paesi, specifici visitatori di questi ultimi, durante il loro soggiorno in hotel. Di fatto, gli alberghi possono involontariamente rappresentare, per gli attaccanti, un’eccellente occasione per colpire particolari categorie di persone, quali, ad esempio, businessmen, manager e dirigenti d’azienda. Prendere di mira gli hotel può inoltre rivelarsi particolarmente proficuo e redditizio per il fatto che i malintenzionati possono in tal modo carpire notizie ed informazioni riguardo agli spostamenti, in giro per il mondo, di persone di alto profilo.

Compromettere il sistema di prenotazione di cui si avvale un hotel costituisce un modo piuttosto semplice per effettuare determinate ricognizioni riguardo ad un particolare obiettivo. Tale attività malevola consente ugualmente agli attaccanti di venire a conoscere il numero della stanza in cui soggiorna la vittima, aprendo così la possibilità ad eventuali attacchi sia di natura fisica che cybercriminale.

Kaspersky Security Bulletin 2014. Uno sguardo nella sfera di cristallo delle APT

Non risulta tuttavia sempre agevole, per i malintenzionati, bersagliare un hotel. Questo è il motivo per cui solo un numero molto limitato di gruppi, in pratica l’élite degli operatori APT, ha realizzato, in passato, tale genere di attacchi informatici, ed utilizzerà gli stessi, in futuro, quale preciso componente del set di strumenti malevoli di cui abitualmente si avvale.

Cosa attendersi: Nel corso del 2015, un ristretto numero di altri gruppi potrebbe ugualmente far ricorso a tali specifiche tecniche, le quali, tuttavia, rimarranno fuori dalla portata e dal campo d’azione della maggior parte degli attori APT.

Commercializzazione delle APT e il settore privato

Durante questi ultimi anni, abbiamo pubblicato estese ed approfondite indagini riguardo al malware creato da società quali HackingTeam o Gamma International, due dei produttori maggiormente conosciuti del cosiddetto spyware “legale”. Sebbene tali aziende dichiarino di vendere il loro software solo ad “entità governative fidate”, i report pubblicati da varie fonti, quali, ad esempio, Citizen Lab, hanno ripetutamente dimostrato come le vendite dei programmi spyware non possano essere controllate. Esiste in effetti l’eventualità che tali “pericolosi” prodotti software possano andare a finire nelle mani di nazioni o individui meno fidati, che potrebbero utilizzare gli stessi per operazioni di cyber-spionaggio nei confronti di altri paesi o della loro stessa popolazione.

Il fatto è che, per le società dedite allo sviluppo di software adibiti al cyber-spionaggio, tali attività risultano altamente redditizie. E non solo: esse presentano ugualmente un basso livello di rischio, poiché – sinora – non si è verificato un singolo caso in cui una di queste società sia stata giudicata colpevole o sia stata condannata in relazione ad episodi di spionaggio informatico. Gli sviluppatori di tali strumenti si collocano abitualmente al di fuori della portata della legge, in quanto la responsabilità ricade, in pratica, sugli utilizzatori degli specifici tool, non sulla società che sviluppa il software, facilitando la conduzione di operazioni di spionaggio.

Cosa attendersi: Si tratta, come abbiamo visto, di un business altamente remunerativo, per di più a basso rischio, il quale porterà alla creazione di ulteriori software house operanti sul ricco mercato degli “strumenti legali di sorveglianza”. A loro volta, i tool in questione verranno utilizzati nel corso di operazioni di cyber-spionaggio tra stati nazionali, così come per la sorveglianza interna in determinati paesi, e forse, addirittura, per la conduzione di attività di sabotaggio.

Conclusioni

Per quel che riguarda gli incidenti informatici riconducibili alla sfera delle minacce APT, il 2014 si è indubbiamente rivelato essere, in generale, un anno piuttosto complesso, “sofisticato” ed eterogeneo. Abbiamo innanzitutto scoperto numerose vulnerabilità di tipo “zero-day”, quali, ad esempio, la vulnerabilità CVE-2014-0515, sfruttata, in particolar modo, da un gruppo APT conosciuto con il singolare appellativo di “Animal Farm”. Un’altra vulnerabilità zero-day individuata dagli esperti di Kaspersky Lab è poi la CVE-2014-0487, utilizzata nell’ambito delle operazioni malevole condotte dal famigerato gruppo conosciuto con la denominazione di DarkHotel. Oltre alle suddette zero-day, abbiamo osservato diverse nuove tecniche malevole volte ad assicurare persistenza ed “invisibilità” al malware dispiegato nel corso degli attacchi APT; tutto questo, a sua volta, ha portato allo sviluppo e all’implementazione di numerosi nuovi meccanismi di difesa per proteggere al meglio i nostri utenti.

Se l’anno 2014 può essere definito come “complesso”, “sofisticato” ed “eterogeneo”, gli aggettivi più adatti per inquadrare con un solo termine l’anno a venire, il 2015, sembrano proprio essere “sfuggente” ed “elusivo”. Riteniamo che un numero maggiore di gruppi APT possa di fatto temere di essere coinvolto in operazioni globali di cyberpolizia che ne determinino lo smascheramento; per tale motivo, è lecito attendersi che tali attori del malware adottino misure ancor più avanzate e sofisticate per evitare di essere scoperti.

Alcuni gruppi APT, infine, nel condurre i consueti attacchi informatici, ricorreranno all’utilizzo di astute operazioni “false flag”. Nel torbido mondo delle temibili minacce APT, si prevedono quindi, da parte nostra, gli sviluppi sopra descritti, i quali, come al solito, saranno ampiamente ed accuratamente documentati attraverso i nostri abituali report dedicati all’attività e all’evoluzione del malware.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *