Threat Report: i malware, il gruppo “The Dukes”, e come i sistemi vengono compromessi

Sicurezza

I Laboratori di F-Secure hanno pubblicato il nuovo Threat Report. Lo studio tratta un’ampia gamma di problematiche di cybersecurity, e utilizza i dati raccolti da F-Secure nel corso del 2015 per analizzare le risorse che gli attaccanti hanno usato, e continuano ad usare, per compromettere la sicurezza di persone e aziende.

Mentre la prima parte del report è ampiamente descrittiva del panorama generale delle minacce, la seconda parte analizza come alcune delle principali minacce dell’anno (inclusi ransomware e kit exploit) abbiano rappresentato solo una parte degli attacchi. Contrariamente a quanto alcuni potrebbero credere, gli attacchi informatici non riguardano solo virus per computer. Gli attaccanti d’oggi usano differenti risorse in attacchi multi-fase, dove ciascuna fase permette a chi attacca di penetrare sempre più nei sistemi e nelle reti prese di mira.

Threat Report 2015
Threat Report 2015

Il Threat Report fornisce un modello che vede l’utente al centro – chiamato “Chain of Compromise” (CoC) – per illustrare come gli attacchi vengano divisi in fasi differenti, e come ciascuna fase colpisca i potenziali bersagli. Le differenti fasi non sono legate a un particolare tipo di attacco, né a un particolare tipo di vittima, a differenza di modelli comunemente impiegati per analizzare minacce specifiche.

Questo è un punto di forza significativo del modello CoC. Chiunque è un potenziale bersaglio può usarlo per vedere come le minacce informatiche possano causare incidenti alla sicurezza, sia che l’incidente sia causato da un’infezione worm o da una violazione di dati. Il report fornisce alcuni esempi concreti di come farlo: viene usato il modello CoC anche per illustrare come i Dukes – un gruppo APT che conduce campagne di cyber spionaggio – usino lo spear-phishing per manipolare i propri bersagli e portarli ad esporsi agli attacchi da loro condotti.

Questo video dimostra come i Dukes utilizzano lo spear-phishing per dare inizio agli attacchi, introdursi nei sistemi, e infettare bersagli con il loro infostealer CosmicDuke.

“Mantenere l’esca in incognito”, secondo Erka Koivunen, F-Secure Cyber Security Advisor, è lì dove inizia l’attacco. 

In questo caso, il destinatario riceve una email contraffatta (un trucco comune usato dai criminali informatici). Falsificando le informazioni che il destinatario vedrà nel campo “da”, è semplice per gli attaccanti ingannare le loro vittime facendo credere loro di stare ricevendo un’email da una persona, quando in realtà è inviata da qualcun altro.

Questo è uno dei modi con cui attaccanti come i Dukes conducono la fase iniziale di un attacco. Una volta che il destinatario apre l’email (o, se preferisci, abbocca all’esca), sta iniziando a esporsi alla minaccia – primo passo verso l’essere compromessi. Ora sta all’attaccante convincere il destinatario a invitarlo nel sistema.

“Le esche sono progettate per attirare la tua attenzione,” spiega Erka.

L’email include un allegato creato specificatamente per essere attraente per i destinatari a cui è rivolto. In questo caso, il contenuto nell’allegato è un’esca creata per distrarre e fuorviare il destinatario dal reale scopo del documento – ossia eseguire codice malevolo sul sistema della vittima.

Gli attaccanti che usano email di spear-phishing hanno in mente bersagli specifici, il che rende semplice per loro creare contenuti personalizzati sugli interessi della vittima, sul suo lavoro e su qualsiasi altra cosa che renderà il contenuto più allettante. Questa è la chiave del social engineering: gli attaccanti vogliono che le loro vittime siano attirate da loro, come i digital marketer e i pubblicitari cercano di creare messaggi che incoraggino i clienti a fare click sulle loro pubblicità online.

Puoi vedere tutto questo nel video. Sia il soggetto dell’email e l’inizio del nome del documento allegato segnala a chi legge che il contenuto riguarda l’EU che sanziona la Russia in merito all’Ucraina. Informazioni come questa dovrebbero essere rilevanti per un ampio numero di persone che lavorano in posizioni collegate alla politica o agli affari internazionali – l’esatto tipo di persone prese di mira dai Dukes. Abbiamo visto simili tattiche usate ripetutamente anche in altri generi di attacchi.

Dire che l’informazione è riservata (nell’angolo in alto a destra dell’allegato) giustica il perchè sia nascosta, e perchè gli utenti abbiano bisogno di abilitare le macro per ottenere informazioni. Inoltre, l’idea di vedere contenuti riservati è troppo eccitante per una persona che solitamente non ha accesso a simili informazioni.

Persone non al corrente di come gli exploit e i macro trojan funzionano (leggi il Threat Report per maggiori informazioni su questo argomento) è improbabile che realizzino che questo coinvolgimento è ciò di cui gli attaccanti hanno bisogno per compromettere i sistemi. Come puoi vedere nel video, abilitare il contenuto comporta molto di più che non permettere solamente che il destinatario legga il resto del documento. Permette ai Dukes di accedere al sistema del destinatario (notare l’inizio del processo .tmp). Eseguire il codice malevolo nascosto nel documento permette all’attaccante di raggiungere la fase di intrusione, lasciandolo libero di procedere con la fase di infezione.

“Una volta che l’exploit è attivato, praticamente il gioco è finito,” secondo Erka.

Dopo che il destinatario ha esposto se stesso o se stessa, e l’attacco è entrato con successo nel sistema, l’infezione CosmicDuke prende piede. Come mostra il video, inizia un processo “.tmp” mentre l’utente legge il documento. CosmicDuke è essenzialmente un infostealer, sebbene si manifesti pacchettizzato con altri componenti che gli offrono funzionalità aggiuntive. Ruba informazioni usando una varietà di mezzi, inclusi la digitazione dei tasti durante la registrazione, carpire screenshot, ed esportare chiavi di decrittografia.

Una volta che questa fase dell’infezione è completa, l’attaccante è ora posizionato per fare ancora peggio (questo non è mostrato nel video). CosmicDuke ha componenti persistenti che gli permettono di rimanere nei sistemi e presenta nuove capacità aggiunte dagli attaccanti che permettono di penetrare più a fondo nei sistemi, e persino proliferare attraverso una rete o più reti.

Quindi cosa lascia alle vittime?

“Significano guai se non si fa qualcosa,” sostiene Erka.

La consapevolezza di queste problematiche dovrebbe essere diffusa in tutte le aziende. Le aziende sono vittime che possono generare soldi in campagne di spear-phishing, quindi gli amministratori IT e il management devono preparare la loro forza lavoro a ricevere questo tipo di email da gruppi APT, da cyber criminali, e da un’ampia gamma di altri attori.

Secondo il Threat Report, il macro malware sta facendo la sua ricomparsa. Le aziende dovrebbero istruire i propri dipendenti affinché le macro da abilitare appaiano con un flag rosso.

“Gli attaccanti contano sul fatto di scovare dipendenti che hanno cattive abitudini, e abilitare le macro è fondamentalmente come abbassare le difese,” spiega Erka. “Se le aziende non vogliono che i dipendenti clicchino su “abilita” per abitudine, gli amministratori IT dovrebbero tentare di eliminare l’uso di macro all’interno di un’azienda, e far sì che il ricevere documenti con macro sia un evento anormale per le persone. Se le macro non possono non essere eliminate dal lavoro di un’azienda, allora gli amministratori IT dovrebbero disabilitare tutte le macro non-firmate, per essere certi che queste non provengano da una fonte non fidata.”

Per saperne di più, puoi scaricare il Threat Rerport dal sito di F-Secure.

Articolo tratto da “Threat Report: malware, the Dukes, and how systems become compromised” di Adam Pilkey, Content Editor Corporate Communications di F-Secure Corporation.

 

 

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: