Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Set 21, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Intrusione, Malware, News, RSS 0
Dietro l’attacco che ha sfruttato CCleaner come vettore di attacco ci potrebbe essere un gruppo di hacker di alto livello o che, per lo meno, puntavano decisamente in alto. L’obiettivo, infatti, erano alcune tra le più famose aziende del settore IT.
A rivelarlo sono i ricercatori del gruppo Talos di Cisco, che sono riusciti a mettere le mani su alcuni file conservati all’interno dei server Command and Control (C&C) a cui si collega il malware.
Come abbiamo riportato in un articolo precedente, l’attacco è stato progettato per utilizzare una strategia in due fasi. La backdoor inserita dai pirati nella versione di CCleaner distribuita tra agosto e settembre ha infatti un’unica funzione: contattare un server C&C dal quale scaricare del codice.
Sarebbe questo il vero e proprio payload, cioè il codice dannoso che i pirati puntano a installare sui computer compromessi. Nella prima analisi dei ricercatori, però, non si era trovato alcun indizio che la seconda fase fosse stata avviata.
Insomma: il quadro in un primo momento sembrava essere quello di una clamorosa violazione dei sistemi di Piriform che aveva portato a una distribuzione di massa della backdoor. L’ipotesi, però, era che si trattasse di un gruppo di “classici” cyber-criminali che puntavano a colpire il maggior numero possibile di computer sparando nel mucchio.
Le nuove scoperte gettano una luce completamente diversa sulla vicenda. Sui server C&C, infatti, i ricercatori hanno trovato una serie di file tra i quali c’è anche il famoso payload che fino a questo momento non era stato identificato.
Non solo: quello che il gruppo Talos ha scoperto è che il payload veniva distribuito solo su un ristrettissimo numero di computer che venivano selezionati in base al dominio a cui apparteneva la rete a cui erano collegati. Si tratterebbe quindi di un attacco mirato e non di una “pesca a strascico” come era sembrato in un primo momento.
Gli obiettivi, in particolare, sarebbero alcune aziende che operano nel mondo dell’informatica: Microsoft, Samsung, VMware, MSI, Sony, D-Link (come se non avesse già abbastanza problemi) e la stessa Cisco, cioè l’azienda a cui fa riferimento il gruppo Talos.
L’elenco dei bersagli contiene il fior fiore dell’industria informatica mondiale. L’ipotesi più probabile, quindi, è che si tratti di un tentativo di spionaggio industriale.
Non solo: analizzando i dati presenti sui server C&C, gli analisti di Talos hanno trovato indizi del fatto che la seconda fase dell’attacco sia stata in realtà avviata nei confronti di una ventina di computer.
L’analisi del trojan, del quale i ricercatori non elencano le funzionalità, denota l’uso di tecniche sofisticate di offuscamento che fanno pensare in ogni caso all’opera di un gruppo di pirati particolarmente capaci.
Il codice dannoso, infatti, viene inserito in un file che fa parte di un software di sicurezza Symantec e usa una serie di accorgimenti che lo rendono difficile da individuare.
Quello che in un primo momento ha stupito di più, a fronte dell’uso di strumenti così sofisticati, è la strategia utilizzata e la scelta di CCleaner come vettore di attacco.
Per quanto sia un software apprezzato e molto diffuso (il sito vanta 2 miliardi di download) è pur sempre un tool gratuito che di solito viene usato da utenti comuni e che viene da pensare si trovi difficilmente in ambito aziendale.
La spiegazione è tutto sommato semplice: CCleaner, infatti, oltre alla più nota versione gratuita ha anche una versione professionale (basata su cloud) pensata proprio per il mondo delle aziende. Guarda caso, il primo report di Talos specifica che i pirati hanno inserito la backdoor anche in questa versione.
La versione cloud di CCleaner è pensata specificatamente per le aziende. Tra le società che la usano compare anche Samsung, una di quelle prese di mira dai pirati.
L’inserimento della backdoor all’interno della versione gratuita, quindi, potrebbe essere stato usato come specchietto per le allodole per mascherare le reali intenzioni dei pirati.
Difficile, infine, azzardare ipotesi riguardo gli autori dell’attacco. Gli unici elementi riportati da Talos (ma nel report si specifica che sono insufficienti per parlare di una possibile attribuzione) puntano il dito verso la Cina.
In particolare viene fatto notare che il malware utilizza il fuso orario cinese per determinare alcune operazioni e che gli analisti di Kaspersky avrebbero individuato alcune analogie tra il codice usato nell’attacco con quello usato in passato dal Group 72, che in passato qualcuno aveva ipotizzato essere collegato in qualche modo alla Cina. Troppo poco, però, per trarre qualche conclusione.
Lug 19, 2024 0
Lug 18, 2024 0
Lug 16, 2024 0
Lug 12, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...