Ecco come i pirati attaccano le caselle email aziendali con KnockKnock

Ott 10, 2017 Marco Schiaffino Attacchi, Hacking, Intrusione, Leaks, News, RSS 0

Gli attacchi portati da un gruppo di professionisti che riescono a passare inosservati. Il loro obiettivo sono i servizi di comunicazione aziendali.

Quanto può valere un account di posta elettronica per un pirata informatico? Dipende: nel caso del gruppo individuato dai ricercatori di Skyhigh Networks può rappresentare una vera miniera d’oro.

Il gruppo, che sfrutta una tecnica di attacco battezzata con il nome di KnockKnock, prende di mira i sistemi di posta Office 365 e punta specificatamente a determinati account aziendali. In particolare a quelli collegati all’automazione, ai servizi, al marketing e più in generale alle comunicazioni interne alla società.

Le ragioni sono molteplici. Prima di tutto perché, paradossalmente, sono gli account più vulnerabili. Trattandosi di account “di servizio”, infatti, non hanno solitamente un sistema di protezione con autenticazione a due fattori. In secondo luogo perché consentono l’accesso a servizi e dati che gli altri utenti non possono raggiungere.

Inoltre si tratta di indirizzi email che i dipendenti considerano attendibili e, una volta compromessi, permettono ai pirati di inviare malware o collegamenti a siti compromessi potendo contare sul fatto che i destinatari li considereranno affidabili.

Vista la posta in gioco, non c’è da stupirsi del fatto che i pirati preferiscano muoversi con accortezza per non rischiare di essere scoperti. Nonostante l’attacco sia portato attraverso una forma di brute-forcing (provando cioè numerose password fino a che non si “azzecca” quella giusta) i cyber-criminali ne hanno limitato il volume per aggirare i controlli di sicurezza.

Secondo i ricercatori, l’attacco viene portato attraverso una piccola botnet composta da circa 80 dispositivi distribuiti su 63 reti diverse. Per ogni account, inoltre, non vengono fatti più di 5 tentativi di accesso.

Un modus operandi decisamente diverso dai normali attacchi di brute forcing, che di solito colpiscono a tappeto tutti gli account di posta (in questo caso parliamo di una media di meno del 2% degli account aziendali) e cercano di eseguire il maggior numero di tentativi di accesso possibili.

Pochi tentativi di accesso distribuiti nel tempo. Se non si utilizzano sistemi di analisi evoluti l’attacco rischia di passare completamente inosservato.

Una volta ottenuto l’accesso a un account, i pirati di solito creano delle regole per la posta in arrivo in modo da esfiltrare i messaggi e nascondere l’operazione. Secondo i ricercatori di Skyhigh Networks, i pirati scelgono con cura anche il malware che intendono distribuire, tarandolo sulla tipologia dell’azienda che vogliono compromettere.

Secondo quanto emerge dal report, gli attacchi sarebbero iniziati nel maggio del 2017 e potrebbero essere collegati a un’altra ondata di attacchi con caratteristiche simili di cui l’azienda ha reso pubblici i dettagli a luglio.

In quel caso, però, i bersagli erano alcuni account selezionati sulla base dell’opportunità. I cyber-criminali hanno infatti sfruttato la diffusione su Internet dei dati personali rubati a Linkedin nel 2012, cercando di sfruttare quelle informazioni a loro vantaggio.

La logica è la solita: una volta conosciuta la password usata per un servizio, la si utilizza nella speranza che la vittima abbia usato la stessa parola di accesso (o magari una sua variante) anche per altre credenziali.

La cosa curiosa è che, piuttosto che indagare per scoprire l’indirizzo email delle potenziali vittime, i cyber-criminali hanno messo a punto un sistema automatizzato per provare tutte le più probabili sintassi dell’indirizzo di posta (come nomecognome@azienda.it; nome.cognome@azienda.it; cognome.nome@azienda.it; etc.) nella speranza di azzeccare quello giusto.

Anche in quel caso, però, il numero di tentativi erano limitati ed era evidente la volontà del gruppo di passare quanto più possibile inosservati.

Condividi l'articolo