Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Feb 09, 2017 Marco Schiaffino Attacchi, Intrusione, Malware, News, RSS 0
La costante crescita di attacchi mirati nei confronti di grandi aziende ed enti finanziari si sta accompagnando, a quanto riferiscono i ricercatori di Kaspersky, a un’evoluzione delle tecniche utilizzate.
Come spiega il Global Research and Analysis Team (GReAT) dell’azienda russa sul blog ufficiale, il salto di qualità sembra prendere ispirazione dalle strategie utilizzate nel passato recente da malware come Stuxnet o Duqu 2.0, che sfruttavano componenti residenti in memoria allo scopo di lasciare pochissime tracce sui supporti fisici e renderne più difficile l’individuazione.
I casi citati, però, riguardano trojan sviluppati da professionisti dello spionaggio legati ai servizi segreti. Ora sembra che le stesse tecniche siano diventate patrimonio anche di più comuni cyber-criminali.
Il primo caso è stato rilevato in un attacco a una banca, ne confronti della quale i pirati informatici hanno utilizzato tecniche di offuscamento che gli hanno permesso di evitare il rilevamento delle loro attività, fino a quando i responsabili IT non hanno individuato un componente sospetto (Meterpreter) residente nella memoria di un domain control Windows.
Le indagini seguenti hanno permesso ai ricercatori Kaspersky di ricostruire il modus operandi dei pirati che hanno portato l’attacco, individuandone le caratteristiche fondamentali: i cyber-criminali, in particolare, sembrano utilizzare comandi PowerShell per avviare il download e l’esecuzione in memoria degli strumenti di hacking.
Lo schema di attacco come viene ricostruito dai ricercatori del GReAT. Gli strumenti utilizzati lasciano tracce solo nella RAM e sul registro di sistema delle macchine colpite.
In questo modo le loro attività possono essere rilevate solo eseguendo un controllo della RAM o, in alternativa, individuandole all’interno del network.
Cosa non facile, visto che anche sotto il profilo delle comunicazioni in rete, il gruppo responsabile dell’attacco ha messo in campo tecniche di offuscamento particolarmente efficaci e, in particolare, un sistema di tunneling delle comunicazioni verso i server Command and Control.
Anche in questo caso, però, i pirati sono stati ben attenti a utilizzare strumenti comuni e che non dessero troppo nell’occhio come la Windows network shell (NETSH) che gli ha consentito di mascherare le comunicazioni in maniera estremamente efficace.
Tanto più che per ospitare i loro server, i pirati hanno utilizzato domini di terzo livello che non permettono di ottenere informazioni riguardanti i loro gestori una volta che è scaduta la registrazione.
In sintesi, sembra che la preoccupazione maggiore in questo tipo di attacchi sia quello di rendere difficile l’attività di forensica e l’attribuzione degli attacchi.
Anche l’arsenale di script utilizzato per l’attacco, per esempio, è stato generato utilizzando il Metasploit framework, uno strumento ben conosciuto per lo sviluppo e l’esecuzione di exploit che fornisce ben pochi indizi sugli autori dell’attacco, mentre la sottrazione delle password hanno utilizzato Mimikatz, un altro strumento disponibile su GitHub.
Secondo i ricercatori Kaspersky questo tipo di attacchi starebbero diventando sempre più frequenti e avrebbero interessato più di 140 aziende in 40 paesi diversi. Curiosamente, le statistiche riportate dall’azienda non riportano alcun caso in Italia.
Lug 17, 2024 0
Lug 11, 2024 0
Lug 05, 2024 0
Giu 20, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...