skip to main | skip to sidebar
4 commenti

Smascherati sette anni di attacchi informatici dalla Russia

Si sente spesso parlare degli attacchi di spionaggio informatico governativo o filogovernativo provenienti dalla Cina o dagli Stati Uniti, ma di quelli che partono dalla Russia si dice poco o nulla. Una recentissima ricerca pubblicata in inglese dalla società di sicurezza informatica F-Secure svela finalmente una parte significativa di questo mondo poco conosciuto.

La ricerca, intitolata The Dukes (i duchi) dal nome assegnato dai ricercatori ai malware coinvolti, ripercorre ben sette anni delle attività di un gruppo di spie informatiche che secondo F-Secure sono al servizio della Federazione Russa e raccolgono “dati di intelligence a supporto delle decisioni politiche estere e di sicurezza”.

I Dukes attaccano principalmente governi, ministeri, agenzie e aziende di paesi esteri in Asia, Africa, Medio Oriente, Europa e America, organizzazioni legate al terrorismo ceceno e gruppi russofoni dediti al commercio illegale di stupefacenti.

Colpisce molto la relativa semplicità delle tecniche usate: gli attacchi sfruttano per lo più lo spear phishing, ossia mail confezionate con cura su misura per lo specifico bersaglio allo scopo di indurlo a cliccare sui link o sugli allegati presenti nei messaggi e infettarlo, ma in almeno un caso è stato sfruttato anche un nodo russo della rete di anonimizzazione Tor iniettando malware nei file scaricati dagli utenti.

Fra gli strumenti sviluppati dall'organizzazione di guerra informatica c'è per esempio PinchDuke, che ruba password e identità su Yahoo, Google Talk e Mail.ru e attacca Outlook, Thunderbird e Firefox tramite un documento Word o Acrobat; c'è GeminiDuke, un malware di ricognizione che esplora le reti Windows per preparare successivi attacchi; c'è CosmicDuke, che registra le digitazioni e cattura schermate degli utenti infettati; e c'è CloudDuke, che accede ai dati delle vittime tramite il cloud, specificamente quello di Microsoft OneDrive.

Come fa F-Secure a sapere che questi malware sono di origine russa e legati almeno per intenti al governo russo? Lo indica il tipo di bersaglio preso di mira, che coincide con quelli di interesse per questo governo, la lingua russa usata per i messaggi d'errore presenti nei campioni di malware catturati, e l'uso di marcatori temporali riferiti all'ora standard di Mosca.

Anche la cronologia degli attacchi è molto illuminante: per esempio, prima dell'inizio della crisi in Ucraina i Dukes iniziarono a compiere attacchi di spear phishing usando finte mail di enti governativi dell'Ucraina per raccogliere informazioni. Inoltre la lunga durata nel tempo, il modo di agire con impunità e il coordinamento preciso, senza conflitti con altri malware, sembrano indicare un'organizzazione ben finanziata e strutturata che difficilmente potrebbe operare in Russia senza avere perlomeno l'approvazione del governo locale.

In mezzo a questa guerra di spie ci siamo inevitabilmente noi tutti, come vittime collaterali ma anche spesso come bersagli, perché vengono prese di mira non solo le grandi organizzazioni ma anche i loro dipendenti e affiliati alla ricerca dell'elemento debole che porti il malware dentro il cuore informatico del bersaglio. Conoscere le tecniche sorprendentemente banali usate spesso dalle spie informatiche ci permette di difenderci meglio dai loro attacchi. Per esempio, non aprire gli allegati senza adeguate protezioni e gestire le password con criterio invece di avere un atteggiamento facilone sarebbe già un ottimo passo avanti.


Fonti aggiuntive: Ars Technica.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (4)
Un consiglio a latere, parzialmente sconnesso dalla notizia: spulciando l'access_log di Apache, ho notato molti indirizzi IP russi anche TARGET. Target in che senso? Ho scoperto che la configurazione di default di Apache (almeno in CentOs) ha il proxy attivo... Centinaia di richieste all'ora contenente un URL completo e diverso da quello del mio sito... Usavano il mio server web come proxy, probabilmente per attacchi DDoS o per anonimizzarsi...

Ho cercato come disabilitare questo comportamento: si può o disabilitare le estensioni Proxy, oppure creare un virtual host di default e negare l'accesso a tutti gli altri (anche questa NON è la configurazione di default)... Chi di voi usa Apache su qualunque OS (quindi anche MAC OS X), controlli la configurazione!
beh l'arma principale in una guerra sono le informazioni, e una miriade di pc tutti connessi insieme sono una festa per chi vuole raccoglierle... Secondo me assisteremo a vere frontiere digitali... firewall che separano le varie nazioni e chi vuole "contattare" un pc in un'altra nazione deve autenticarsi e dichiarare cosa vuole fare e perche'...
d'accordo su tutti i tuoi consigli, Paolo, ma continuo a non avere a disposizione una rapida sicura e utilizzabile in pratica per "gestire le password con criterio".

Ho l'impressione che questo sia un problema intrinseco dei sistemi informatici in uso oggi, non facile per tutti da usare. E' un po' come se per essere sicuri in auto si debba andare col casco a 20 all'ora, solo di giorno e senza parlare per non distrarsi. Vero, ma inapplicabile.

100 password diverse del tipo aSqdm23dla:!dQQ sono di fatto quasi impossibili da maneggiare. Tutti i software del tipo keychain presentano rischi. Usare frasi non sempre è possibile (alcuni siti consentono massimo 8 caratteri). Lasciare il foglietto con le password nel cassetto non è molto utile per chi viaggia molto.

Che fare? A me pare più facile dare la colpa agli utenti che accettare che il problema non ammette soluzioni praticabili senza un impatto sostanziale sul proprio lavoro e sul proprio tempo. Qualcosa deve cambiare...
@pgc Io uso LastPass ma capisco i dubbi sulla sicurezza delle proprie password in un server altrui. Però credo che il telefono sia il posto giusto dove conservare le "100 password": scrivile su un foglio che tieni nel cassetto, fagli una foto, proteggi il telefono con un pin e sei a posto. Poi ti serve un piano d'azione se perdi il telefono: cancellare da remoto (su iPhone, non so su Android) o cambiare tutte le password se non ci riesci.
Qualcosa sta cambiando: la verifica in due passaggi è sempre più diffusa, alcuni siti ti avvisano quando c'è un login da un pc nuovo, ecc. Però ci vorrà tempo, e nel frattempo qualcuno ci sguazza!