Vediamo insieme un'infografica che mostra la composizione dell’ecosistema di malware nonché i principali “vettori di infezione”.
E’ interessante notare come il Search Engine Poisoning (SEP) ha totalizzato un 40% nella diffusione delle infezioni. In un attacco di tipo SEP vengono inondati i motori di ricerca con link che portano a siti che contengono codice in grado di sfruttare vulnerabilità dei sistemi operativi e scaricare così malware sui computer.
Gli utenti purtroppo sono portati a fidarsi dei risultati forniti da motori come Google, Bing o Yahoo e non pensano che le pagine indicizzate possano rivelarsi delle vere e proprie trappole.
L’altro principale vettore di malware è la “classica” mail (che totalizza poco meno del 7%) ma che usata in maniera più mirata è in grado di offrire i risultati più devastanti, almeno dal punto di vista delle corporation.
Il 2 Agosto i laboratori della McAfee hanno svelato i dettagli dell’operazione Shady RAT [2] (dove RAT è un acronimo per indicare Remote Access o Administration Tool) una campagna di cyber-spionaggio in corso da almeno 5 anni e che ha avuto come obiettivo 72 organizzazioni pubbliche [3] e private in 14 nazioni [4]. Alla McAfee sono stati in grado di accedere ad uno specifico Command & Control Server utilizzato dagli attaccanti e raccogliere tutta una serie di log che, a partire dal 2006, ha potuto fornire indicazioni sulle modalità e gli obiettivi attaccati.
La procedura di attacco è quasi sempre la stessa e così riassunta:
- Una mail (chiamata spear-phishing email) contenente un particolare exploit viene inviata ad un dipendente con particolari livelli di accesso
- L’exploit quando eseguito su un sistema con aggiornato avvia il download e l’installazione del malware
- Il malware entra in esecuzione nel sistema operativo del dipendente, si nasconde, ed avvia una comunicazione nascosta con un server di controllo (il Command & Control Server)
- La porta di comunicazione (backdoor) aperta dal malware viene sfruttata per consentire un accesso diretto al network interno dell’azienda da parte degli attaccanti che effettueranno un’escalation dei privilegi dell’utente diventando amministratori del computer
- Il computer infetto ora viene utilizzato per compromettere un numero più grande possibile di altri dispositivi collegati alla stessa rete fino ad arrivare ai computer che hanno accesso ai dati più sensibili
Per quanto riguarda le le motivazioni dietro questi attacchi, Alperovitch, vice presidente del reparto ricerca sulle minacce di McAfee, non fornisce delle certezze ma dice:
“Anche se una frazione di questi attacchi sono stati utilizzati per costruire dei prodotti migliori o per battere la concorrenza in delle negoziazioni chiave (molti degli attacchi sono stati fatti a delle compagnie petrolifere ndt), le perdite indotte rappresentano un grossa minaccia economica, non solo per le singole compagnie e industrie, ma per interi paesi che stanno affrontando la prospettiva di riduzione della crescita economica in un quadro sempre più competitivo con conseguente rischio di perdita di posti di lavoro e di competitività cedendo il passo a concorrenti senza scrupoli, per non parlare poi degli impatti sulla sicurezza nazionale causato dalla perdita di informazioni sensibili.”Per concludere, i livelli di attacchi informatici stanno progressivamente aumentando (solo nel 2011 Lulzsec ha attaccato i siti della Fox, il Playstation Network, la PBS e la CIA ) non solo in numero ma anche in pericolosità (ricordate Stuxnet?), ma quello che sconvolge veramente è pensare che quello che veniamo a sapere è solo la punta dell’iceberg:
“Esiste attualmente un problema massivo di attacchi informatici diretti verso tutte le tipologie di industrie e settori economici moderni in ogni nazione, le sole organizzazioni esenti da questa minaccia sono quelle che non hanno nulla di interessante da rubare”Sono forse queste le avvisaglie dell’arrivo di un’imminente tempesta di attacchi informatici? Se si, speriamo che quelli che stiamo sentendo non siano i tuoni…
PS: per chi fosse ulteriormente interessato agli attacchi Malware, vale la pena leggere anche la storia dell'attacco Night Dragon.
Riferimenti:
[1] http://www.bluecoat.com/company/press-releases/blue-coat-examines-malware-ecosystems-2011-mid-year-web-security-report-0
[2] http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat
[3] http://blogs.mcafee.com/wp-content/uploads/2011/08/ShadyRAT_diagram_categories.jpg
[4] http://blogs.mcafee.com/wp-content/uploads/2011/08/ShadyRAT_diagram_map.jpg
Nessun commento:
Posta un commento