Mondo
La quantità di malware individuati nella prima metà del 2008 è la più alta mai registrata: il 2007 si era chiuso con 500.000 unità e alla fine di giugno siamo arrivati alla cifra record di 900.000.
Questa recente esplosione non significa necessariamente la nascita di nuove tipologie di minacce, quanto piuttosto di varianti camuffate di famiglie già esistenti di trojan, backdoor, exploit e altre ora prodotte con un alto livello di efficienza.
I criminali stanno diventando sempre più professionali e stanno adattando e utilizzando sistemi e codici di livello enterprise: la complessità e la qualità della loro infrastruttura IT e dei loro sistemi continua a crescere, offrendo loro il potere di invadere silenziosamente Internet.
Attacchi sempre più mirati
La prima metà del
Un esempio di un grave attacco mirato avvenuto durante il mese di maggio: alcuni dirigenti di una società hanno ricevuto un’email che menzionava un presunta denuncia alla loro azienda presentata al Better Business Bureau (USA). Compiendo ricerche sul target che avevano scelto di colpire, i criminali sono stati in grado di utilizzare i veri nomi dell’azienda e delle persone. Questo ha reso l’approccio più veritiero, aumentando la probabilità che i destinatari dell’email seguissero le istruzioni ricevute, mettendo così a rischio i propri computer. Per l’attacco in questione, i criminali hanno utilizzato tecniche di social engineering e malware “personalizzato” per infettare le potenziali vittime.
Il messaggio email conteneva un link al sito www.us-bbb.com dal quale scaricare la denuncia all’azienda, ma il vero sito della Better Business Bureau è www.us.bbb.org. Per poter leggere la fantomatica denuncia era necessario scaricare un aggiornamento di Acrobat Reader: inoltre il processo di download richiedeva Internet Explorer e un componente ActiveX. Il quale, una volta installato sul computer, apriva una backdoor nel sistema permettendo l’accesso a informazioni riservate.
Attacchi mirati a scopo politico
Gli attacchi malware mirati vengono anche utilizzati per scopi politici o militari. Durante i recenti scontri tra tibetani ed esercito cinese, la guerriglia nelle strade è stata accompagnata da azioni di spionaggio politico su Internet. Associazioni per i diritti umani, organizzazioni pro-Tibet e singoli sostenitori della causa tibetana, sono stati attaccati per mezzo di una campagna email mirata e tecnologicamente avanzata, con lo scopo di infettare i loro computer per spiarne le azioni.
Il contenuto delle email era legato ad annunci e messaggi reali dei gruppi pro-Tibet. Alcune email facevano credere di veicolare immagini dei tibetani colpiti dai militari cinesi e sembravano provenire da persone o organizzazioni fidate. Le email furono inviate a mailing list, forum privati e persone impegnate nei gruppi pro-Tibet. Alcune persone hanno ricevuto questo genere di attacco mirato più di una volta. I criminali solitamente utilizzavano tipi di file “affidabili” come DOC, XLS, PPT, PDF e CHM. Per esempio, in un caso un documento sembrava provenire dall’organizzazione UNPO (Unrepresented Nations and Peoples Organization) ma i mittenti delle email erano falsi e in realtà i messaggi provenivano da tutt’altra parte. L’email conteneva un messaggio di solidarietà con il popolo Tibetano e una versione modificata di una vulnerabilità di Adobe Acrobat. Nel momento in cui i destinatari aprivano il documento, venivano infettati con un keylogger che inviava tutto quel che veniva digitato sulla tastiera ad un server “nascosto”. Il malware, inoltre, era disegnato in modo da eludere la maggior parte dei prodotti antivirus. In alcuni casi abbiamo visto le stesse applicazioni usate per attacchi sia a sfondo politico sia alle aziende. Questo fatto supporta la tesi che coloro che hanno attaccato i gruppi pro-Tibet, siano anche coinvolti negli attacchi alle aziende, in particolare
quelle che lavorano per la Difesa.
Spear Phishing
Gli stessi strumenti che i criminali usano per raccogliere informazioni sui singoli individui sono usati anche per individuare i profili dei gruppi. L’azione di “phishare” un particolare gruppo prende il nome di “spear phishing”. Gli hacker inviano delle esche a coloro che rientrano nel profilo. Lo spear phishing può colpire il destinatario indirizzandosi a lui con il suo nome proprio, che viene ricavato dall’indirizzo email: ad esempio, john.smith@jsmithfamily.com diventa “Caro John”, piuttosto che il generico “Caro cliente” utilizzato nel phishing tradizionale.
Malware sempre più sofisticato
Non tutto il malware analizzato durante i primi sei mesi del 2008 era rappresentato da minacce note “riconfezionate”. Ci sono state anche novità interessanti:
Mebroot
La flessibilità degli attacchi di malware dimostra che alcuni criminali dispongono di notevoli risorse e capacità. Creare sistemi avanzati di backend richiedono tempo e denaro. Quest’anno abbiamo individuato un rootkit MBR (Master Boot Record) molto avanzato, conosciuto come “Mebroot” ed è probabilmente il malware più subdolo mai prodotto fino ad oggi. Le modifiche che il rootkit Mebroot apporta al sistema sono minime e di conseguenza è molto difficile da individuare. Il team di esperti F-Secure che ha sviluppato una protezione contro il rootkit Mebroot ritiene che il suo sviluppo abbia richiesto diversi mesi di lavoro.
Storm
Storm Worm è stato definito il malware 2.0 per il suo tempismo, i metodi di social engineering utilizzati e la complessità del suo progetto. Utilizza tecniche peer-to-peer e crea una botnet decentrata per non essere individuato. Questo malware ha avuto un ruolo fondamentale nell’evoluzione delle minacce online che ha portato al trend dei virus diffusi attraverso i download automatici. Microsoft in aprile ha comunicato che il suo Malicious Software Removal Tool (MSRT) ha lavorato molto bene nell’eliminazione delle Storm bot, le componenti controllate da remoto nel network criminale della Storm gang. Tuttavia, recentemente c’è stata una ripresa dell’invio di email per spingere le persone a visitare i siti Storm. La Storm botnet sicuramente non è così grande come qualche tempo fa, ma è comunque improbabile che il rischio sia cessato.
“Iniezioni criminali”
Durante la prima metà del 2008 abbiamo visto i criminali usare strumenti potenti per individuare i siti che utilizzano server SQL contenenti pagine non sicure. In realtà, i server SQL in sé non sono pericolosi; gli strumenti utilizzati dagli hacker vanno alla ricerca di quei form Internet che accettano input non controllati e non filtrati. Questa tecnica di hacking sfrutta l’inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all’interno di una query SQL.
Sempre più siti si appoggiano a database di backend che permettono di rendere il sito più veloce e dinamico. Dal punto di vista della sicurezza, significa che è cruciale verificare quali informazioni vengono immagazzinate localmente e quali provengano dai database – specialmente se il sito permette agli utenti di caricare dei contenuti come succede di solito nei forum, nei blog e così via. A meno che questi contenuti non siano controllati prima di essere salvati, non è possibile sapere cosa il sito mostrerà agli utenti. L’iniezione SQL sfrutta proprio le debolezze di questi controlli e permette al malintenzionato di autenticarsi in aree protette del sito e di visualizzare e/o alterare dati sensibili.
Gli attacchi di massa di questo genere sono in aumento e sempre più siti ospitano dei file maligni. Milioni di siti sono stati colpiti e decine di migliaia ne sono tuttora infetti. Crediamo che al momento ci siano diversi gruppi criminali che utilizzano una serie di strumenti automatici per iniettare il codice maligno nei siti. Non esistono più i siti “fidati” perché tutti possono contenere dei rischi per i visitatori. L’infezione tramite download automatico (drive-by-download) non è mai stata così diffusa.
Le guerre dei browser
Le nuove versioni dei browser Internet più famosi sono appena state rilasciate: Firefox 3 è stata lanciata il 18 giugno con importanti azioni di marketing negli Stati Uniti. Solo nelle prime 24 ore sono state scaricare e installate milioni di copie. Opera 9.5 è stata rilasciata il 12 giugno, Internet Explorer 8 è in fase beta. Tutti questi browser contengono funzionalità di sicurezza potenziate che promettono tempi duri per il malware.
Applicazioni di terze parti
Dal momento che i browser sono diventati più “corazzati”, i bersagli più facili sono diventati le applicazioni di terze parti utilizzate da un numero enorme di utenti: Adobe Flash ad esempio è installato su quasi tutti i computer che utilizzano Windows. I laboratori di ricerca di F-Secure a maggio e a giugno hanno ricevuto un considerevole numero di codici Flash maligni. Molti attacchi basati su Adobe Flash sono stati usati in combinazione con gli attacchi del tipo SQL injection. Al momento solo la nuova versione 9.0.124.0 di Flash non è a rischio, ma la maggior parte dei computer non l’ha ancora installata. A causa dei potenti strumenti utilizzati dai cyber criminali è diventato indispensabile aggiornare costantemente tutte le applicazioni installate sul proprio computer .
Sicurezza dei dispositivi mobili
Durante la prima metà del 2008 non ci sono stati esempi particolarmente significativi di malware per i dispositivi mobili: è stato individuato solo un nuovo worm chiamato Beselo per l’S60 2nd edition, qualche esemplare di malware del tipo proof-of-concept e nuovi tool di spionaggio.
Jailbreaking
Il “modding” di cellulari e smartphone – la pratica di modificare l’hardware dei telefoni cellulari o dei palmari – è stata un’attività molto diffusa in questi sei mesi. Gli appassionati di telefoni cellulari non vedono l’ora di mettere le mani sui modelli più popolari e fanno a gara per sbloccare tutte le restrizioni che esistono. È un fenomeno molto simile alla cultura del modding che esiste tra gli appassionati di videogame.
Jailbreak è un termine del gergo UNIX e si riferisce al posizionamento di file all’esterno di una cartella ad accesso controllato. Una volta che i file hanno accesso a queste cartelle riservate e si posizionano al loro interno, è possibile alterare il sistema operativo. Il termine Jailbreak è recentemente entrato nella cultura popolare grazie all’iPhone della Apple. Sono disponibili strumenti semplici da usare con i quali modificare l’iPhone. La crescente popolarità di questo dispositivo ha spinto a intensificare l’attività di ricerca relativa alla sicurezza dell’iPhone.
Symbian
Probabilmente queste attività relativa ai dispositivi mobili, ha alimentato anche le community di modder per Symbian. Symbian è il sistema operativo leader nel mercato degli smartphone e al momento le vendite di Symbian superano quelle dell’iPhone. Oggi è possibile “fare jailbreak” del Symbian S60 3rd edition con una sola e semplice operazione.
Le recenti tecniche di hacking hanno come obiettivo l’interfaccia di debugging di Symbian, dando così ai modder il pieno controllo del dispositivo senza dover operare sul firmware, operazione che spesso comporta dei rischi. Sembra inoltre che tutte le versioni del sistema operativo Symbian possano essere vulnerabili alle tecniche utilizzate. Tuttavia, un’applicazione grafica in formato SISX è stata sviluppata solo per l’S60 3rd edition.
La privilege escalation (tecnica che sfrutta una falla in un software applicativo per accedere a risorse protette dall’applicazione) permette ai proprietari del telefono di installare applicazioni non certificate. Con il modello di sicurezza integro è possibile usare solo applicazioni certificate o autocertificate. È possibile che il codice sorgente di Cabir, Commwarrior o Beselo venga adattato per gli smartphone S60 3rd edition e con l’aggiunta della privilege escalation potrebbe creare problemi simili a quelli causati agli S60 2nd edition. Tuttavia, Nokia e Symbian hanno lavorato parecchio sulle funzioni di sicurezza dell’S60. Le attuali interfacce utente potrebbero essere più soggette a tecniche di social
engineering rispetto alla 2nd edition. Prevediamo che a un certo punto qualcuno realizzerà malware destinato ai telefoni 3rd edition, essenzialmente per provare che è possibile, anche se al momento non prevediamo un pericolo molto esteso.
Più facilmente vedremo un piccolo ma crescente insieme di appassionati che installeranno applicazioni fatte in casa più o meno come avviene per l’iPhone. Utenti che saranno disposti a mettere in gioco la sicurezza del dispositivo, useranno le applicazioni gratuite messe a disposizione da sviluppatori che preferiscono evitare i costi della certificazione Symbian. Queste community continueranno a crescere e rappresenteranno una sfida sempre più grande per gli amministratori IT impegnati a mettere in pratica le policy di sicurezza all’interno delle aziende.
Protezione
Proteggersi dagli attacchi così personalizzati richiede una grande attenzione a livello personale e una forte cultura della sicurezza a livello aziendale. La maggior parte dei programmi di sensibilizzazione sulla sicurezza ha lo scopo di informare le persone sui rischi diretti alla grande massa degli utenti di Internet, ma non è altrettanto efficace nel proteggere gli individui che hanno subito attacchi mirati. FSecure ha sviluppato