Cerca nel blog

2008/04/15

Virus usati per spionaggio mirato in arrivo dalla Cina

La strana storia delle patch di Office e degli attacchi ai siti pro-Tibet


Wired ospita un articolo interessantissimo sull'uso di virus per attacchi estremamente mirati, provenienti a quanto pare dalla Cina e destinati principalmente a siti pro-Tibet e ad aziende nel settore della difesa statunitense. Gli aggressori sono tanto decisi da arrivare addirittura a telefonare alle vittime per sapere, tramite qualche scusa, che tipo di antivirus usano e calibrare meglio i propri attacchi.

E' dall'inizio del 2006 che dalla Cina arrivano e-mail contenenti documenti Word ed Excel infetti: dei veri e propri cavalli di Troia. Mikko Hyppönen di F-Secure ha dichiarato di recente che questi attacchi sono la ragione per cui Microsoft, nello stesso periodo, ha distribuito numerosi aggiornamenti di sicurezza (con un picco di 26 patch a ottobre 2006) senza fornire spiegazioni.

La tecnica di base dell'aggressione è sempre la stessa: un allegato che fa da esca, a volte travestito da curriculum vitae, e fa andare in crash l'applicazione intanto che installa un keylogger (un programma che registra tutte le digitazioni e le invia all'aggressore) e software per carpire dati dal computer infetto e da quelli della sua rete locale.

L'origine cinese (non si sa se governativa o criminale) degli attacchi è indicata dal fatto che i dati rubati vengono inoltrati a server situati in Cina, come ha scoperto con rammarico una grande società del settore militare che Hyppönen non nomina: una singola macchina Windows infetta aveva trasmesso informazioni a un server cinese per ben 18 mesi senza che nessuno notasse nulla.

A marzo di quest'anno, in concomitanza con le sommosse in Tibet, si è verificata una nuova serie di attacchi contro i siti e computer di gruppi pro-Tibet, riferisce Wired. L'esca è stata, stavolta, un allegato che si spacciava per una comunicazione delle Nazioni Unite ad una mailing list pro-Tibet. L'allegato, una volta aperto, installava malware che rubava le chiavi PGP di cifratura delle comunicazioni.

Gli aggressori non esitano a chiamare per telefono le aziende-bersaglio spacciandosi per contatti di lavoro che stanno cercando di inviare un e-mail che torna respinto e, con questa scusa, facendosi dire quale antivirus è in uso. Non solo: falsificano le intestazioni dei messaggi per far credere che la comunicazione arrivi da un collega, e per farlo studiano gli organigrammi aziendali. Non si tratta certo di dilettanti.

Il problema non è circoscritto a Microsoft Office: anche Acrobat è stato utilizzato come vettore di malware, e Hyppönen consiglia l'uso di un programma alternativo per la lettura dei file PDF, usatissimi nelle aziende. Hyppönen ha anche notato che OpenOffice.org (alternativa libera e gratuita a Microsoft Office e simili) non è stato preso di mira.

Soprattutto sul luogo di lavoro, oltre a potenziare le proprie difese usando antivirus e anti-rootkit, conviene quindi fare sempre attenzione agli allegati inattesi e alle telefonate contenenti domande troppo tecniche, soprattutto se fatte in modo da metterci sotto pressione o creare uno stato d'ansia che impedisce di pensare con chiarezza. L'utente è sempre uno degli anelli più deboli della catena della sicurezza, e le emozioni sono la cesoia perfetta per spezzare quest'anello.

1 commento:

Rado il Figo ha detto...

In effetti c'è stato un periodo, ma l'anno scorso non di certo nel 2006, in cui sono arrivate a strettissimo giro di posta, tre telefonate nell'ufficio presso cui lavoro in cui una voce spiccatamente straniera in pratica cercava di sapere, con un'incalzante sfilza di domande, quanti pc adoperavamo e quali programmi usassimo (intesi però come programmi professionali, non di antivirus). Non so se fossero previste altre domande perché avendo preso io la prima telefonata chiesi subito chi diamine fossero e perché facessero tali domande, ottenendo come risposta che erano una ditta produttrice di software professionali che stava facendo un'indagine di mercato. A questa prima seguirono, come detto, altre due. All'epoca pensai che ci fosse un qualche collegamento, però, colla banda di razziatori che stava colpendo gli studi di avvocati a Padova, da dove prelevavano tutti i pc presenti.