Spyware. HackingTeam

Contenuti

Il presente articolo è stato redatto sulla base dei dati tecnici ottenuti ed elaborati dagli esperti di Kaspersky Lab nel corso delle analisi condotte sui programmi malware denominati Korablin e Morcut. Le conclusioni tratte dai nostri esperti poggiano ugualmente su dati ricavati attraverso fonti d’informazione pubblicamente accessibili, elencate nella parte finale dell’articolo. I lettori potranno porre qualsiasi domanda riguardo ai contenuti della presente pubblicazione attraverso il sito <securelist.com>, il portale di Kaspersky Lab dedicato ai temi della sicurezza informatica, oppure potranno rivolgersi direttamente al servizio di pubbliche relazioni allestito nell’ambito del nostro sito web globale <Kaspersky.com>.

Spyware per enti governativi e forze dell’ordine

Secondo la definizione riportata su Wikipedia, la nota enciclopedia online, “Uno spyware è un tipo di software che raccoglie informazioni riguardanti l’attività online di un utente (siti visitati, acquisti eseguiti in Rete, etc.) senza il suo consenso, trasmettendole tramite Internet ad un’organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l’invio di pubblicità mirata. […] In un senso più ampio, il termine spyware è spesso usato per definire un’ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l’invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l’installazione di dialer truffaldini per numeri a tariffazione speciale”. Occorre inoltre sottolineare come gli spyware siano ugualmente adibiti alla raccolta di informazioni sulla configurazione dei computer presi di mira, così come all’ottenimento di qualsiasi altra informazione di natura riservata e confidenziale, ovviamente carpita senza il previo consenso da parte dell’utente.

Nonostante nella maggior parte dei paesi del globo siano state promulgate leggi che vietano esplicitamente la creazione e la diffusione di programmi malware, al giorno d’oggi esistono almeno tre pacchetti di software appositamente elaborati – come affermano i loro sviluppatori – per effettuare la raccolta di dati riguardanti le attività svolte dagli utenti sui propri computer; le informazioni così ottenute vengono successivamente trasmesse alle autorità statali preposte a far rispettare la legge e garantire l’ordine pubblico.

Il trojan Bundestrojaner, utilizzato dalle forze di cyberpolizia tedesche per monitorare l’attività in Rete di persone ritenute sospette, è stato il primo, tra i suddetti programmi, ad assurgere agli onori della “cronaca”. Citiamo poi FinSpy, altro spyware ampiamente conosciuto, creato dalla società Gamma International allo scopo di fornire alle forze dell’ordine, in varie nazioni, l’opportunità di monitorare computer e dispositivi mobili di individui sospetti. Il terzo spyware in questione è infine il software denominato Remote Control System (RCS). Si tratta di un programma creato dalla società italiana HackingTeam, destinato all’acquisto da parte di autorità governative e forze dell’ordine di vari paesi; nel nostro articolo si parlerà in particolar modo proprio di tale software.

HackingTeam

La società HackingTeam ha attirato per la prima volta la nostra attenzione già nel corso dell’anno 2008, quando sul sito di WikiLeaks sono apparsi alcuni documenti in cui venivano descritte le funzionalità di programmi spyware proposti dalla suddetta società ad enti ed agenzie statali.

In seguito, all’inizio del 2012, gli esperti di Kaspersky Lab hanno rilevato l’esistenza di certi programmi malware, destinati al sistema operativo Windows, che presentavano somiglianze ed affinità davvero sorprendenti, a livello di funzionalità possedute, sia con i programmi descritti su WikiLeaks, sia con il software Remote Control System, la cui descrizione è pubblicata in Rete sul sito ufficiale della suddetta società italiana, all’indirizzo www.hackingteam.it. In quel preciso momento, tuttavia, non sospettavamo ancora l’esistenza di effettivi legami e tratti in comune tra i malware da noi rilevati (classificati da Kaspersky Lab con la denominazione di Korablin) ed i programmi spyware sviluppati da HackingTeam.

spyware_it_1sm

La descrizione del programma tratta dal sito web della società HackingTeam
http://www.hackingteam.it/images/stories/RCS2012.pdf

Tutto è cambiato nel mese di luglio 2012, quando numerose società produttrici di soluzioni antivirus hanno ricevuto nelle proprie e-mail box un messaggio di posta elettronica contenente un sample di codice nocivo appositamente sviluppato per colpire la piattaforma Mac OS X, provvisto delle stesse funzionalità.

Il 24 luglio 2012, esattamente alle 05:51:24 – ora di Mosca – all’indirizzo newvirus@kaspersky.com giungeva il messaggio e-mail sotto riportato. Esso non indicava nessun oggetto, né conteneva alcun genere di testo; il messaggio recava esclusivamente in allegato il file <AdobeFlashPlayer.zip.>, che si è poi rivelato essere un file JAR autofirmato, contenente un determinato programma in grado di funzionare con il sistema operativo Mac OS X.

spyware_it_2

Le intestazioni del messaggio di posta elettronica giunto all’indirizzonewvirus@kaspersky.com

Ben presto, quasi tutte le società produttrici di antivirus provvedevano ad aggiungere alla propria “collezione” di programmi malware il nuovo software nocivo individuato, al quale ogni società assegnava un nome diverso: Crizis, DaVinci, Boychi, etc. (Kaspersky Lab, ad esempio, lo ha denominato Morcut). E, al tempo stesso, quasi tutti i produttori di soluzioni anti-malware iniziavano a sospettare che fosse stata proprio la società italiana HackingTeam ad aver creato tale programma. Come accennato nel capitolo precedente, HackingTeam propone ad agenzie governative e forze dell’ordine di vari paesi l’acquisto di speciali software preposti ad operazioni di monitoraggio e sorveglianza.

Le prove

La presenza di funzionalità simili costituisce ad ogni caso solo il primo dei tre elementi che sembrano testimoniare in maniera indiretta il coinvolgimento di HackingTeam riguardo ai file sottoposti ad analisi da parte degli esperti. Esaminiamo ora gli altri due elementi.

In primo luogo, i dati di servizio contenuti nel file Mac da noi ricevuto evidenziavano la presenza di nomi di cartelle e moduli utilizzati dagli autori del suddetto software nocivo al momento della scrittura del codice di programma. In tali nomi si incontrava ripetutamente la combinazione di lettere RCS, che, per l’appunto, coincide con la sigla che identifica il programma Remote Control System (l’acronimo in questione viene normalmente utilizzato da HackingTeam a livello di materiali promozionali e nella descrizione del programma presente sul sito web della società italiana).

spyware_it_3sm

Esempio di utilizzo dell’acronimo RCS nella descrizione del programma creato da HackingTeam http://www.hackingteam.it/index.php/remote-control-system

spyware_it_4

Utilizzo della combinazione di lettere RCS all’interno del programma malware
sviluppato per la piattaforma MAC

Infine, è stato individuato un exploit preposto a generare il download del malware dal sito web <hackigteam.it> (tale exploit è stato caricato sul sito <Virustotal.com> il 4 luglio 2012).

spyware_it_5

Frammento del payload nocivo dell’exploit preposto a generare il download del programma malware dal sito hxxp://rcs-demo.hackingteam.it/***ploit.doc2

Riassumendo, le analisi condotte dai nostri esperti sul sample di malware ricevuto tramite posta elettronica hanno evidenziato quanto segue:

  1. Coincidenza tra le funzionalità previste nel programma malware da noi analizzato e le funzionalità di cui è dotato il software offerto da HackingTeam.
  2. Coincidenza tra ripetute denominazioni utilizzate nelle intestazioni dei file nocivi analizzati dai nostri esperti e lo specifico acronimo presente sul sito web della società HackingTeam.
  3. Esecuzione del download del malware in questione dal sito della società HackingTeam.

Sulla base degli elementi raccolti è possibile supporre che, molto probabilmente, gli spyware caduti in mano agli analisti siano stati creati dalla società italiana HackingTeam. Per maggior comodità, nel prosieguo del nostro articolo, si farà riferimento a tali programmi malware (sviluppati sia per il sistema operativo Windows che per la piattaforma Mac OS Х) con l’appellativo di RCS.

Tra l’altro, sempre all’interno degli stessi file dannosi per Mac OS X, trasmessi tramite posta elettronica, sono stati individuati specifici riferimenti a file custoditi nella cartella di un certo utente denominato <guido>:

spyware_it_6

Il nome utente “guido” menzionato nel codice del programma malware analizzato

E qui emerge una curiosa coincidenza: un utente di nome Guido ha indicato sul sito <linkedin.com> di operare in qualità di Senior Software Developer presso la società HackingTeam.

spyware_it_7

L’accountvdell’utente “Guido ***” sul sito LinkedIn, in cui si indica HackingTeam in qualità di organizzazione presso la quale viene svolta la propria attività lavorativa

Uno spyware piuttosto strano e singolare

Al momento attuale, nella “collezione” di programmi malware allestita da Kaspersky Lab si contano oltre 100 esemplari di RCS, provvisti di funzionalità quasi identiche tra loro. Come abbiamo detto in precedenza, la descrizione di tali sample corrisponde alla descrizione del software Remote Control System presente all’interno del sito ufficiale di HackingTeam, nonché alla descrizione del programma – creato da HackingTeam – pubblicata sul sito di WikiLeaks (pdf).

spyware_it_8

La descrizione di RCS pubblicata sul sito di WikiLeaks

I file di cui si compone il programma malware RCS destinato all’OS Windows risultano essere scritti nel linguaggio di programmazione C++. Per far sì che il software nocivo in questione non attiri l’attenzione delle soluzioni antivirus, i creatori dello stesso, in pratica, non hanno utilizzato alcun metodo di protezione nei confronti di eventuali analisi anti-malware; è questa una caratteristica tipica dei programmi utilizzati per la conduzione di attacchi informatici mirati.

L’insieme delle funzionalità possedute da RCS può essere visualizzato nella parte iniziale dei file eseguibili, al momento dell’inizializzazione degli oggetti.

spyware_it_9

Inizializzazione degli oggetti di RCS

Una prima analisi delle funzionalità di cui è provvisto il malware in questione ci ha permesso di determinare che RCS è un programma malevolo in grado di auto-diffondersi; abbiamo inoltre potuto ugualmente stabilire che RCS è preposto al furto dei dati personali dell’utente-vittima e che esso permette di ottenere agevolmente, da remoto, l’accesso al sistema informatico infetto.

Nell’eseguire le tipiche funzionalità di spyware, per le quali è stato progettato, il programma procede alla copiatura dei dati necessari per l’accesso ai vari account attivati dall’utente e si avvale, inoltre, delle consuete procedure di intercettazione dei messaggi provenienti da browser (Firefox, Internet Explorer, Chrome, Opera), client di posta elettronica (Outlook, Windows Mail, Thunderbird) e strumenti di instant messaging (Yahoo, MS messengers, Google Talk, Skype, Paltalk, Thrillian). Il malware qui analizzato risulta ugualmente in grado di intercettare flussi di dati audio e video.

Il malware RCS, tuttavia, è dotato di ulteriori funzionalità che, a nostro avviso, possono sicuramente apparire eccessive e ridondanti per un programma spyware “ordinario”. L’analisi dei comandi trasmessi dal server di controllo di RCS permette di porre in evidenza le più significative tra di esse. Su comando impartito dal relativo server di controllo, RCS è in effetti in grado di attivare le seguenti funzionalità:

  1. Meccanismo di auto-diffusione tramite chiavetta USB:
    1. Utilizzo del meccanismo standard Autorun.inf (procedura analoga a quella normalmente adottata per la maggior parte dei worm rilevati da Kaspersky Lab come Worm.Win32.AutoRun);

    2. Utilizzo del record fasullo “Open folder to view files” (metodo alquanto diffuso, utilizzato dai virus writer per assicurare il processo di auto-diffusione dei worm, ed in particolar modo del worm Kido/Confiker);

    3. Utilizzo della vulnerabilità CVE-2010-2568 (vulnerabilità sfruttata da Stuxnet nel proprio processo di auto-diffusione attraverso i file LNK).

  2. Processo di infezione della “virtual machine” Vmware ed autocopiatura del malware nella cartella di autorun del disco virtuale.
  3. Infezione dei dispositivi mobili BlackBerry e Windows CE.
  4. Meccanismo di autoaggiornamento.
  5. Utilizzo dell’algoritmo di codifica AES nell’operare con i file e nell’interfacciarsi con i server di comando e controllo.
  6. Installazione di driver.

Sottolineiamo inoltre come RCS non risulti provvisto di alcun meccanismo adibito all’esecuzione di procedure di copiatura sicure ed attendibili riguardo al contenuto del file system, oppure di dispositivi preposti alla rimozione del contenuto presente nella memoria operativa. Ne consegue che i risultati ottenuti tramite l’esecuzione di codice spontaneo all’interno del sistema (autoaggiornamento e installazione dei driver) non consentono poi di poter affermare con certezza ed in maniera univoca che, ad esempio, un determinato contenuto illegale, rilevato nel computer della persona sospettata, sia stato effettivamente caricato su tale computer proprio dall’individuo sottoposto a sorveglianza, anziché da colui che ha dispiegato il programma RCS. Riteniamo quindi, da parte nostra, che tale software non possa essere utilizzato per la raccolta di informazioni da poter in seguito esibire in qualità di prove riguardo alla presunta conduzione di attività illecite.

Riassumendo, possiamo in sostanza affermare che il programma malware qui analizzato sia dotato di funzionalità piuttosto strane e singolari: in effetti, esso fa quello che non dovrebbe fare, mentre non fa ciò che dovrebbe invece fare un programma preposto alla raccolta di informazioni da utilizzare per l’esecuzione di successive perizie di natura tecnico-giuridica.

Processo e modalità di diffusione

Il malware RCS risulta presente sui computer infetti sotto forma di vari file – provvisti di nomi casuali – e di un’attiva libreria dinamica, per la cui installazione si rendono necessari ulteriori software malevoli. Nel corso delle analisi da noi condotte, sono stati in effetti individuati sia dei programmi dropper che dei downloader, utilizzati per l’esecuzione delle procedure di installazione di RCS.

spyware_it_10

Esempio di file creati dal programma-installer di RCS

Subito dopo la pubblicazione su WikiLeaks del materiale citato in uno dei capitoli iniziali del presente articolo, avevamo presupposto, considerando le elevate potenzialità e i notevoli mezzi di cui in genere dispongono le forze di cyberpolizia di numerosi paesi del globo, che la diffusione di RCS si realizzasse attraverso la sostituzione, a livello di Internet provider, di file eseguibili richiesti dagli utenti.

Tuttavia il file JAR autofirmato, da noi ricevuto tramite posta elettronica nel mese di luglio 2012, dimostrava, di fatto, che per effettuare la distribuzione del malware RCS potevano essere ugualmente impiegati metodi di ingegneria sociale.

spyware_it_11

Esempio di applet JAVA autofirmato, preposto all’installazione di RCS sul computer dell’utente-vittima

L’attacco informatico si manifesta nel modo seguente: l’utente-vittima riceve al proprio indirizzo di posta elettronica un messaggio e-mail contenente un link al file nocivo, oppure il file stesso. Lo specifico contenuto del messaggio presuppone, ovviamente, che l’utente provveda poi all’apertura del file in questione (oppure clicchi sul link appositamente inserito nel corpo dell’e-mail).

Allo stesso modo, siamo riusciti ugualmente a stabilire che, attraverso la posta elettronica, possono essere distribuiti sia i dropper che i downloader preposti all’installazione di RCS sulla macchina infetta. Nella circostanza, i file nocivi in causa, denominati in vario modo, sono risultati provvisti di estensioni RAR, ZIP ed EXE.

  • PPT.rar
  • FlashUpdate.exe
  • Setup.exe
  • Crack.exe
  • Photos.zip
  • GoogleUpdate.rar
  • Microsoft.exe
  • Install.rar
  • Wrar.exe
  • Important.rar

Elenco dei file contenenti il programma per l’installazione di RCS

Inoltre, analizzando i file preposti a generare il download di RCS, abbiamo individuato una vulnerabilità in precedenza sconosciuta, successivamente codificata con la sigla numerica CVE-2013-0633. Il metodo utilizzato per sfruttare tale vulnerabilità è risultato essere uno dei metodi abitualmente impiegati nella conduzione di attacchi informatici mirati: l’utente riceve un messaggio di posta elettronica con un documento Word allegato, contenente un exploit 0-day; nel caso specifico da noi esaminato, si trattava di un exploit destinato a colpire Flash (Adobe, da parte sua, ha già fornito una descrizione dell’exploit in causa, a questo indirizzo web).

spyware_it_12

Il contenuto del documento Word aperto a seguito dell’azione nociva esercitata dall’exploit CVE-2013-0633, preposto all’installazione di RCS nel computer sottoposto ad attacco

Gli exploit

Un’attiva ricerca degli exploit adibiti a generare l’installazione di RCS sui computer degli utenti è stata avviata subito dopo la pubblicazione da parte di Citizen Lab – il noto laboratorio interdisciplinare operante presso l’Università di Toronto – nel mese di ottobre 2012, di un articolo in cui veniva descritto l’utilizzo di un exploit appositamente creato per sfruttare la vulnerabilità CVE-2010-3333, tramite il quale, negli Emirati Arabi Uniti, era stato infettato dal programma RCS il computer di un dissidente di alto profilo. Al momento attuale, l’elenco delle vulnerabilità sfruttate dagli exploit individuati, risulta essere il seguente:

  • CVE-2010-3333
  • CVE-2012-1682
  • CVE-2012-4167
  • CVE-2012-5054
  • CVE-2013-0633

Occorre oltretutto sottolineare il fatto che, per alcuni mesi, ben quattro delle vulnerabilità sopra elencate sono rimaste del tutto sconosciute. Di conseguenza, lungo tutto l’arco di tale periodo, gli exploit rivolti alle suddette vulnerabilità, non ancora conosciute dagli esperti, hanno potuto in pratica penetrare liberamente all’interno di qualsiasi computer sottoposto ad attacco.

Esistono attualmente ulteriori vulnerabilità che, a nostro avviso, possono essere utilizzate per realizzare l’installazione di RCS. Tuttavia, i server dai quali – attraverso il dispiegamento di appositi exploit – viene effettuato in maniera furtiva il download dei file eseguibili, risultano funzionanti solo per un breve arco di tempo; pertanto, non è ancora possibile dimostrare che tali exploit possano essere additati quali responsabili dell’installazione del malware RCS sui computer-vittima.

Abbiamo ad ogni caso potuto verificare e confermare che il download di RCS è stato sinora effettuato dai seguenti indirizzi:

  • 106.187.**.51
  • 112.***.65.110
  • 173.255.215.**
  • Update*******.info
  • 176.**.100.37
  • 176.74.1**.119
  • 178.**.166.117
  • 178.**.176.69
  • 183.98.1**.152
  • 184.107.2**.78
  • Fira******.com
  • 187.***.43.35
  • 198.58.**.113
  • *****update.selfip.com
  • Clos*****.com
  • Fad****.com
  • 200.67.***.2
  • Tmx****.com
  • 200.**.245.36
  • 2.228.65.***
  • 50.7.***.220
  • 50.116.***.11
  • 17******.com
  • 56****.members.linode.com
  • 76.***.33.13
  • A*****.com
  • A***.com
  • ****b.5gbfree.com
  • li56*****.members.linode.com
  • wiki-****.com
  • wiki-*****.info

Sempre nella stessa pubblicazione di Citizen Lab, il noto ricercatore Morgan Marquis-Boire presupponeva che nel processo di diffusione dei prodotti di HackingTeam venissero utilizzati degli exploit creati dalla società francese Vupen. E’, quest’ultima, una società specializzata nella ricerca delle eventuali vulnerabilità presenti nei software che godono di ampia popolarità presso il pubblico degli utenti; oltre a ciò, Vupen effettua la vendita – agli enti governativi di vari paesi – di exploit già confezionati e pronti all’uso. Per il momento, tuttavia, non è ancora dato sapere se gli exploit sviluppati da Vupen vengano posti in vendita assieme ai software elaborati da HackingTeam, oppure se i clienti di entrambe le società realizzino per conto proprio tali programmi, utilizzandoli in seguito per operazioni di monitoraggio e sorveglianza di persone ritenute sospette.

Specifiche di esecuzione

Analizzando le specifiche funzionalità che caratterizzano il malware RCS, abbiamo potuto evidenziare alcuni criteri formali che permettono di determinare come certi file esaminati risultino riconducibili ai prodotti di HackingTeam, ed in particolare al software RCS.

  1. Utilizzo di meccanismi di debug durante l’esecuzione del programma.

    In fase di esecuzione, il programma è in grado di verificare il proprio PID e di emettere messaggi relativi al proprio funzionamento.

    spyware_it_13

    Esempio di verifica del PID durante l’installazione iniziale di RCS

  2. Utilizzo di richieste POST con codifica AES tramite User-Agent “Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0”.

  3. Utilizzo di firme dei file eseguibili, per eludere i sistemi di protezione installati nei computer degli utenti.

    spyware_it_14

    Esempio 1: firma di un componente di RCS

    spyware_it_15

    Esempio 2: firme di componenti di RCS

    spyware_it_16

    Esempio 3: firme di componenti di RCS

    Le firme digitali dei componenti di RCS riprodotte negli esempi 1 e 2 risultano essere state rilasciate a persone fisiche. L’ultimo degli esempi sopra riportati, a differenza dei due precedenti, evidenzia invece come il certificato sia stato rilasciato ad una certa organizzazione. Il nome di tale organizzazione, come si può notare, è OPM Security Corporation.

OPM Security

La società OPM Security risulta registrata a Panama; all’interno del suo sito web (www.opmsecurity.com) è possibile vedere come, tra le numerose attività svolte, OPM Security proponga ugualmente un prodotto software denominato “Power Spy”, la cui descrizione ricalca pienamente la descrizione del programma RCS effettuata da HackingTeam.

spyware_it_17

La descrizione del programma “Power Spy” presente nel sito di OPM Security
http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

Ciò fa presupporre che la compagnia OPM Security proponga, verosimilmente, l’acquisto di qualche vecchia versione di RCS, oppure di una versione pirata del software in questione. E’ interessante osservare come il prezzo proposto da OPM Security ai potenziali acquirenti sia di soli 200 euro, nonostante il prezzo medio praticato da HackingTeam – sulla base di certe informazioni rese di pubblico dominio sul web – ammonti mediamente a 600.000 euro.

Occorre inoltre rilevare che OPM Security costituisce una parte di OPM
Corporation
, la quale offre servizi di registrazione di società offshore, servizi per l’ottenimento di un secondo passaporto e via dicendo.

spyware_it_18n

Descrizione della sfera di attività svolte dalla società OPM Corporation, pubblicata sul sito
www.taxhavens.us

Statistiche dei tentativi di infezione

Riportiamo qui di seguito una mappa elaborata sulla base dei dati raccolti tramite il KSN (Kaspersky Security Network) – la rete di sicurezza globale implementata da Kaspersky Lab – riguardo al numero di tentativi di installazione di componenti di RCS sui computer degli utenti di vari paesi, a partire dall’inizio del 2012.

Visto che RCS presenta una struttura multi-modulare, per comporre la suddetta mappa sono stati sommati i dati relativi al rilevamento dei seguenti programmi malware (i nomi sotto riportati sono quelli assegnati dalla classificazione praticata da Kaspersky Lab):

  • Backdoor.OSX.Morcut
  • Rootkit.OSX.Morcut
  • Trojan.OSX.Morcut
  • Backdoor.Win32.Korablin
  • Backdoor.Win64.Korablin
  • Rootkit.Win32.Korablin
  • Rootkit.Win64.Korablin
  • Trojan.Multi.Korablin
  • Trojan-Dropper.Win32.Korablin
  • Trojan-PSW.Win32.Agent.acnn

Nei casi in cui l’utente unico ha subito più di una volta tale genere di attacco informatico, abbiamo opportunamente provveduto a sommare i dati relativi al numero di rilevamenti complessivamente effettuati.

spyware_it_19

Quadro mondiale del numero complessivo di tentativi di installazione di RCS rilevati sui computer degli utenti di Kaspersky Lab in vari paesi del globo – Periodo: gennaio 2012 – febbraio 2013

Desideriamo sottolineare, innanzitutto, che i nostri esperti dispongono esclusivamente dei dati relativi ai tentativi di infezione prodottisi sui computer degli utenti di Kaspersky Lab, e peraltro solo di quegli utenti che hanno volontariamente confermato la propria adesione al Kaspersky Security Network (KSN). Considerando la specificità ed il carattere mirato degli attacchi informatici condotti tramite il malware RCS, il numero degli utenti-vittima non può ovviamente risultare elevato.

E’ possibile valutare il grado di interesse degli “attaccanti” effettuando un debito confronto con il numero di tentativi di infezione che si sono manifestati su ogni singolo computer sottoposto ad attacco, in ognuno dei paesi interessati dall’infezione. In base a tale specifico indice, la graduatoria risulta capeggiata da Tagikistan e India: in totale, in ognuno dei due paesi asiatici è stato attaccato 1 solo computer, oggetto tuttavia di reiterati ed insistenti tentativi di installazione del malware RCS (rispettivamente 21 e 20 notifiche).

Nel corso del periodo sopra indicato, RCS è stato utilizzato in maniera particolarmente attiva in Messico; nel paese centro-americano, ognuno degli 11 computer attaccati dal malware in questione ha subito ben 14,5 tentativi di infezione. Il numero maggiore di utenti sottoposti ad attacco si è registrato proprio in Italia (19): ognuno dei computer-vittima ubicati sul territorio italiano è stato oggetto, in media, di 6,5 attacchi neutralizzati e respinti.

Paese Numero di utenti unici Numero di attacchi Numero di attacchi portati nei confronti di un singolo utente
Messico 11 159 14,5
Italia 19 123 6,5
Vietnam 10 88 8,8
Emirati Arabi Uniti 9 77 8,6
Iraq 5 42 8,4
Libano 2 29 14,5
Marocco 4 27 6,8
Panama 4 23 5,8
Tagikistan 1 21 21,0
India 1 20 20,0
Iran 2 19 9,5
Arabia Saudita 3 19 6,3
Repubblica di Corea (Corea del Sud) 5 18 3,6
Spagna 4 18 4,5
Polonia 6 16 2,7
Turchia 5 12 2,4
Argentina 2 12 6,0
Canada 1 8 8,0
Mali 1 8 8,0
Oman 1 8 8,0
Cina 3 8 2,7
USA 4 6 1,5
Kazakhstan 2 5 2,5
Egitto 1 5 5,0
Ucraina 1 5 5,0
Uzbekistan 1 5 5,0
Colombia 1 4 4,0
Taiwan 3 4 1,3
Brasile 2 4 2,0
Russia 2 4 2,0
Kirghizistan 2 3 1,5
Gran Bretagna 1 3 3,0
Bahrain 1 2 2,0
Etiopia 1 1 1,0
Indonesia 1 1 1,0
Germania 1 1 1,0
Libia 1 1 1,0

Quadro complessivo dei tentativi di installazione di RCS rilevati sui computer degli utenti di Kaspersky Lab in vari paesi del globo – Periodo: gennaio 2012 – febbraio 2013

Riteniamo doveroso sottolineare come circa una decina di incidenti siano stati rilevati su workstation ubicate presso enti governativi, imprese industriali, studi legali e mass media.

Conclusioni

Nel corso di questi ultimi anni si sono prodotti significativi cambiamenti nel quadro della sicurezza IT globale, di cui gli utenti sono venuti a conoscenza solo di recente: tra gli eventi di maggior rilievo, è da rimarcare la comparsa sulla scena del malware di programmi utilizzati in qualità di cyber-armi o come strumenti di cyber-spionaggio.

Hanno fatto ugualmente la loro apparizione sul panorama della sicurezza informatica alcune società private che, secondo quanto riportato nei rispettivi siti ufficiali, sviluppano programmi preposti alla raccolta di informazioni sui computer degli utenti, e propongono poi tali software ad autorità governative e forze dell’ordine. Quei paesi che non dispongono di adeguate risorse e capacità tecnologiche possono, da parte loro, acquistare programmi dotati di simili funzionalità presso le suddette compagnie private. Nonostante nella maggior parte dei paesi del globo esistano leggi che vietano esplicitamente la creazione e la diffusione di programmi malware, al giorno d’oggi i cosiddetti programmi-spia (spyware) vengono offerti sul mercato senza che siano in qualche modo mascherate le reali funzionalità di cui essi sono provvisti.

Per il momento, il numero di tali società risulta alquanto limitato, e sul mercato di riferimento la concorrenza è in pratica quasi inesistente; una situazione del genere crea indubbiamente condizioni favorevoli per la comparsa di nuovi attori sulla scena e per l’inizio di una vera e propria competizione tecnologica tra le suddette società. Secondo le informazioni di cui disponiamo, le aziende in questione non sono responsabili per la sorte che avranno, in seguito, i programmi da esse creati; tali software possono essere difatti impiegati per operazioni di monitoraggio e sorveglianza, nell’ambito di campagne di spionaggio internazionale, oppure possono essere semplicemente utilizzati da comuni cybercriminali al tradizionale scopo di generare profitti illeciti.

La situazione sopra descritta viene potenzialmente resa ancor più complessa dall’eventualità che simili programmi possano comparire anche sul libero mercato, dove, ad esempio, certe società di copertura potrebbero poi, in ogni momento, rivendere tali software a chiunque ne desiderasse l’acquisto.

  1. Brochure pubblicitaria del software RCS:
    http://www.hackingteam.it/images/stories/RCS2012.pdf
  2. Articolo sulle indagini condotte dal laboratorio interdisciplinare CitizenLab riguardo a RCS:
    https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
  3. Descrizione delle attività svolte dalla società Vupen:
    http://www.vupen.com/english/company.php
  4. Post sul blog di Adobe in merito all’individuazione di una vulnerabilità sconosciuta:
    http://blogs.adobe.com/psirt/2013/02/security-updates-available-for-adobe-flash-player-apsb13-04.html
  5. Documenti di HackingTeam pubblicati sul sito di WikiLeaks:
    http://wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf
  6. Descrizione del programma PowerSpy, offerto dalla società OPM Security:
    http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *