Cyber-notizie dal lato oscuro – Versione SAS 2019

Ciao a tutti!

Eccoci a una nuova pubblicazione della mia serie iNews, ovvero le cyber-notizie dal lato oscuro, anche se stavolta mi concentrerò sulle presentazioni a cui ho assistito durante il Security Analyst Summit che si è tenuto il mese scorso a Singapore.

Un tratto distintivo del SAS ha a che fare con le presentazioni tenute dagli esperti. A differenza delle altre conferenze geopoliticamente corrette, al SAS gli analisti condividono sul palco le loro scoperte inerenti a qualsiasi minaccia informatica, indipendentemente da dove provengano, perché seguono dei princìpi. I malware rimangono malware e gli utenti devono essere protetti da tutti le minacce, senza considerare le buone intenzioni dichiarate da coloro che li hanno creati. Non va mai dimenticato l’effetto boomerang.

E se certi mezzi d’informazione mentono spudoratamente in risposta a questa nostra posizione di principio, che continuino a farlo. E attaccano non solo i nostri princìpi, dal momento che mettiamo sempre in pratica ciò che predichiamo, e quando si tratta del numero di operazioni di cyberspionaggio risolte, non c’è competenza che tenga. Ma soprattutto non abbiamo intenzione di cambiare il nostro atteggiamento a scapito degli utenti.

Ecco un breve riassunto delle ricerche più cool che hanno presentato i nostri esperti al SAS. Le ricerche più interessanti, più scioccanti, più spaventose, più incredibili…

1. TajMahal

L’anno scorso, abbiamo scoperto un attacco a un’organizzazione diplomatica dell’Asia centrale. Ovviamente non deve sorprendere che un’organizzazione di questo tipo susciti l’interesse dei cybercriminali. I sistemi informatici di ambasciate, consolati e missioni diplomatiche sono sempre stati allettanti per gli altri stati e le loro agenzie di spionaggio, o anche per quelle persone dagli scopi poco trasparenti con le capacità tecniche e i mezzi economici necessari a disposizione. Dopotutto abbiamo letto i romanzi di spionaggio. Ma c’è una novità: è stato costruito un vero “TajMahal” per perpetrare degli attacchi, ovvero una piattaforma APT con tutta una serie di plugin (fino a ora, non avevamo mai visto tanti plugin utilizzati in una sola piattaforma APT), tool ideali per scenari di attacco di ogni tipo.

La piattaforma è formata da due parti: Tokyo e Yokohama. La prima è la backdoor principale, che contiene anche la seconda parte del programma dannoso, che ha funzionalità molto variegate: furto di cookie, intercettazione di documenti dalla coda di stampa, registrazione di chiamate VoIP (comprese WhatsApp e FaceTime), cattura di schermate etc. L’operazione TajMahal è attiva da ormai ben cinque anni e la sua complessità suggerisce che non c’era un solo obiettivo in mente. Ora ci tocca scoprire gli altri…

Qui potete leggere maggiori dettagli su questa colossale APT.

2. Gaza cybergang 

La prima volta in cui abbiamo parlato di Gaza cybergang  risale al 2015, anche se il gruppo cybercriminale arabo che c’è dietro (spinto da ragioni politiche) è attivo fin dal 2012 e opera principalmente in Medio Oriente e Asia centrale. La maggior parte degli attacchi ha avuto luogo in Palestina, ma sono stati registrati numerosi tentativi di infezione in Giordania, Israele e Libano. A Gaza cybergang interessa soprattutto rubare informazioni da politici, diplomatici, giornalisti e attivisti politici.

Più che di un gruppo, dovremmo parlare di un “compound” formato da almeno tre sottogruppi, ognuno dei quali ha uno stile e un tratto distintivo (per questo motivo, all’inizio ci è risultato difficile comprendere che si trattava di azioni congiunte). Abbiamo già parlato di due di questi gruppi, dalle maggiori abilità tecniche, sui nostri blog. Invece, abbiamo parlato per la prima volta del terzo sottogruppo, MoleRAT, proprio in occasione del SAS 2019 e sappiamo che ha avuto la sua parte nell’operazione SneakyPastes (battezzata così per l’uso di pastebin.com).

I loro attacchi multifase iniziano con un’e-mail di phishing piuttosto astuta riguardante un argomento politico attuale, che sembra contenere qualche tipo di protocollo di negoziazione o un messaggio da un’organizzazione rispettabile. Un dipendente non adeguatamente formato potrebbe cascarci perfettamente e aprire l’allegato che sembra essere un file innocuo ma che in realtà contiene un malware e attiva una serie di infezioni. Una volta all’interno del sistema, i cybercriminali nascondono la presenza del malware agli occhi dei software antivirus per poi proseguire verso ulteriori fasi di attacco.

Di recente, è stato installato un RAT sul dispositivo obiettivo dell’attacco che ha moltissimi assi nella manica: può scaricare e caricare file facilmente, aprire applicazioni, cercare documenti e dati cifrati. E trova qualsiasi file presente nel sistema (.pdf, .doc, .docx, .xlsx), li salva in cartelle temporanee, li classifica, archivia, li cifra e poi li invia mediante una serie di domini al server command & control. Signore e signori, è così che funziona lo spionaggio nel 2019!

Volete saperne di più? Date un’occhiata qui.

3. Truffe economiche e cloni digitali 

Se pensate che tutte le nostre ricerche riguardino solo attacchi che sembrano provenire direttamente da un romanzo di spie/detective o di fantascienza, vi state sbagliando. Il terzo intervento di cui vi vorrei parlare riguarda un gran numero di persone, si tratta di un crimine informatico diventato così comune che ormai i media non ne parlano più. E invece dovrebbero! Sto parlando delle truffe bancarie. Secondo una fonte piuttosto affidabile, nel 2018 le perdite derivanti dalle truffe alle carte di credito ammontavano a 24 miliardi di dollari, miliardi! Solo per fare un breve confronto: il budget annuale della NASA è di 21,5 miliardi di dollari e le Olimpiadi di Tokyo costano 25 miliardi!

È stato anche coniato un termine che descrive le truffe moderne sulle carte di credito: il carding, un fenomeno importante e in continua crescita. E sebbene le banche e i sistemi di pagamenti prestino particolare attenzione alla sicurezza, i truffatori sviluppano nuovi strumenti per appropriarsi del denaro sfruttando le carte bancarie.

Durante il SAS 2019, Sergey Lozhkin ha descritto un’altra “branca” del crimine finanziario: sulla darknet ha scoperto un mercato chiamato Genesis per la compravendita delle cosiddette “impronte digitali”, ovvero pacchetti di dati che riguardano il comportamento di un utente sulla rete (cronologia dei siti visitati, informazioni sul sistema operativo, browser etc.). A cosa servono? Beh, questo tipo di dati sono utilizzati da vari sistemi online per proteggere gli utenti dalle truffe (mediante verifica). Se un’impronta digitale corrisponde a una già usata, la soluzione di sicurezza “riconosce” l’individuo e approva la transazione (ad esempio, un acquisto in un negozio online o un bonifico mediante la banca virtuale). Il prezzo di queste impronte digitali può variare, dai 5 ai 200 dollari, dipende dal volume di dati.

Come si raccolgono queste impronte? Mediante vari programmi dannosi. Ad esempio, un malware può penetrare nel vostro computer e, senza farsi notare, poco a poco raccoglie tutti i dati che può ottenere. E voi non ve ne accorgerete nemmeno.

I truffatori hanno architettato un altro metodo per aggirare i sistemi di protezione: apparire agli occhi del sistema come un utente completamente nuovo, grazie all’aiuto di un servizio speciale chiamato Sphere, che resetta l’ID digitale e tutti i suoi parametri. In questo modo, il cybercriminale è “pulito” agli occhi del sistema di sicurezza.

Cosa possiamo fare al riguardo? Le banche devono essere al corrente delle ultime tecniche di truffa informatica e devono adottare l’autenticazione due passaggi. E credo che presto avranno bisogno di aggiungere i dati biometrici (le vere impronte digitali, lo scanner della retina etc). Nel frattempo, per la centomilionesima volta, prestate molta attenzione ai vostri dati (password, numeri di carte di credito, uso di computer in luoghi pubblici, connessione a reti Wi-Fi pubbliche). E, naturalmente, adottate una buona soluzione di sicurezza in grado di riconoscere tutti gli elementi dannosi che colpiscono la vostra identità digitale.

4. Il potere segreto di YARA

Verso la conclusione del SAS di quest’anno, Vitaly Kamluk ha proposto una presentazione PechaKucha (20 slide e per ognuna ha dedicato circa 20 secondi) sulle possibilità di YARA (una specie di motore di ricerca per individuare le caratteristiche dei file eseguibili, un aiuto più che prezioso per l’analisi dei malware).

Durante la sua presentazione, dal titolo “The Secret Power of YARA”, Vitaly ha utilizzato i suoi poteri di Jedi su questo tool e ha creato… un video in tempo reale di arte ASCII! Il pubblico non poteva credere ai propri occhi! Ma c’è di più, con un po’ più di magia, con lo stesso regime ASCII ha anche giocato a DOOM! Il pubblico è rimasto senza parole, esterrefatto!

5. E se…

Durante la presentazione finale Costin Raiu, direttore del nostro GReAT ha dato molto da riflettere al pubblico in sala sui possibili metodi che un malware ha a disposizione per penetrare in un sistema (a livello hardware) e anche sui possibili metodi per nascondersi nei meandri dell’hardware. Cosa faremo se queste ipotesi diventassero realtà? Come risponderebbe il settore della cybersecurity? Su tutto questo verteva la presentazione di Costin, una specie di guida per le startup del nostro campo.

Questo è tutto, il meglio dal SAS 2019. Non vediamo l’ora che arrivi il SAS 2020 e per raccontarvi le sue novità…

PS: Durante il SAS 2019 si sono tenute circa 70 presentazioni, e sono solo le “finaliste”, che hanno superato tutte le fasi di selezione. Non possono parlare di tutte qui su questo blog, ma presto pubblicheremo sul nostro canale YouTube il video intero della conferenza.

LEGGI I COMMENTI 0
Scrivi un commento
  • RT @kaspersky: Yara is an essential tool for every malware researcher. Here's 3 reasons why you need to master it - and now you can from yo…
    18 ore fa