Kaspersky Lab illustra l’evoluzione dell’hacking

CyberwarSicurezza
Kaspersky Lab illustra l'evoluzione dell'hacking
1 20 Non ci sono commenti

Kaspersky Lab esamina gli indicatori più utilizzati dai ricercatori per verificare da dove provengono gli attacchi e spiegare come un numero di gruppi cyber-riminali conosciuti li abbia manipolati

Solo negli ultimi giorni hacker americani sono penetrati nella rete Cremlino, violando anche i sistemi russi di elettricità e telecomunicazioni. Essi avrebbero seminato malware, nascondendoli in parte delle strutture e infrastrutture critiche della Russia, così come Mosca è accusata di aver fatto con gli Usa, secondo le accuse a stelle e strisce. In questo clima da cyber-guerra fredda, Kaspersky Lab illustra l’evoluzione dell’hacking.

Kaspersky Lab illustra l'evoluzione dell'hacking
Kaspersky Lab illustra l’evoluzione dell’hacking

Nell’ultimo Virus Bulletin stilato dai ricercatori di Kaspersky Lab, Brian Bartholomew e Juan-Andres Guerrero-Sade, gli hacker che compiono attacchi mirati sfruttano un ventaglio sempre più ampio di tecniche ingannevoli per confondere l’attribuzione, impiantando, tra le altre cose, timestamp ‘False Flags’, stringhe di linguaggi, malware, e operando sotto copertura a nome di gruppi inesistenti.

Gli indicatori più utilizzati dai ricercatori per verificare da dove provengono gli attacchi e spiegare come un numero di gruppi cyber-riminali conosciuti li abbia manipolati, comprendono: Timestamp; Language marker; collegamenti infrastrutturali e di back-end; Toolkit (malware, codici, password, exploit); le vittime.

Nei file malware, i Timestamp indicano quando sono stati creati: permettono di determinare le ore di lavoro degli sviluppatori, e questo può dare un’idea del fuso orario delle loro operazioni; tuttavia, i timestamp sono facilmente alterabili.

I file malware spesso includono stringhe e percorsi debug che possono fornire indizi sugli autori del codice. L’indizio più ovvio è il Language marker, la lingua usata e il relativo livello di conoscenza. I percorsi debug possono anche rivelare il nome utente e le convenzioni di denominazione interne per progetti o campagne. Inoltre, i documenti di phishing potrebbero essere pieni di metadati che possono involontariamente salvare le informazioni di stato che segnalano il computer di un autore. Ma sono dati falsificabili: il gruppo criminale Cloud Atlas include stringhe in arabo nella versione per BlackBerry, caratteri in hindi nella versione per Android e le parole ‘JohnClerk’ nel percorso del progetto per iOS – anche se in molti sospettano che il gruppo abbia dei collegamenti con l’Est Europa.

Individuare il server di Command and Control (C&C) usato dagli hacker è come trovare il loro indirizzo di casa. Le infrastrutture C&C possono essere costose e difficili da mantenere, quindi anche gli hacker con più risorse hanno la tendenza a riutilizzare i server C&C o le infrastrutture di phishing. Le connessioni back-end consentono di togliere il velo sugli hacker, se questi non rendono anonime le connessioni internet quando recuperano i dati da server di esfiltrazione o email, mettono a punto il server di staging o phishing o monitorano un server hackerato. Ma a volte gli errori sono intenzionali: il gruppo Cloud Atlas provava a confondere i ricercatori usando indirizzi IP della Corea del Sud.

Nonostante alcuni gruppi criminali sfruttino tool disponibili pubblicamente, molti preferiscono creare backdoor, strumenti di lateral movement ed exploit personalizzati, custodendoli gelosamente. La comparsa di una famiglia di malware specifica può perciò aiutare i ricercatori a mettere nel mirino un gruppo criminale.
Il gruppo criminale Turla ha deciso di approfittarne quando si è trovato con le spalle al muro all’interno di un sistema danneggiato: invece di ritirare il proprio malware, i cyber criminali hanno installato un raro pezzo di malware cinese che comunicava con infrastrutture collocate a Pechino, completamente estranee a Turla. Mentre il team di risposta agli incidenti delle vittime ha inseguito il malware ingannevole, il gruppo Turla ha disinstallato il proprio malware per poi cancellarne ogni traccia dai sistemi delle vittime.

I bersagli degli hacker sono un altro possibile indizio rivelatorio, sebbene stabilire un collegamento accurato con le vittime richieda un forte senso di interpretazione e analisi. Nel caso del gruppo Wild Neutron, per esempio, l’elenco delle vittime era così eterogeneo da confondere l’attribuzione.

Inoltre, alcuni gruppi criminali abusano del desiderio di una connessione chiara tra l’hacker e la vittima, operando sotto copertura a nome di un gruppo di hacktivist, spesso inesistente. Il Gruppo Lazarus si spacciava per i “Guardiani della Pace” durante l’attacco a Sony Pictures Entertainment nel 2014. In molti ritengono che anche il gruppo criminale Sofacy abbia adottato una tattica simile, fingendosi di essere hacktivist.

Infine, alcuni hacker tentano di far ricadere la colpa su un altro gruppo di criminali. Questo approccio è stato adottato dal gruppo TigerMilk, finora non identificato, che ha firmato le proprie backdoor con gli stessi certificati rubati, usati in precedenza da Stuxnet.

L’attribuzione di attacchi mirati è complicata, inaffidabile e soggettiva – i gruppi criminali manipolano sempre di più gli indicatori su cui si basano i ricercatori, confondendo sempre di più le acque. L’attribuzione accurata è spesso quasi impossibile. Inoltre, la threat intelligence ha valori profondi e misurabili che vanno oltre il ‘chi è statoi. C’è un bisogno globale di capire chi siano gli hacker più forti nell’ecosistema dei malware e fornire un’intelligence efficace alle aziende – questo dovrebbe essere il nostro focus”, ha concluso Brian Batholomew, Senior Researcher di Kaspersky Lab.

WhitePaper – Sei interessato ad approfondire l’argomento? Scarica il Whitepaper: Un sistema immunitario attivo contro le minacce avanzate

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore