L’immagine del ragazzino solitario che dalla propria cameretta scatena la Terza Guerra Mondiale è fuorviante se utilizzata per farsi un’idea di cosa si muove dietro ai grandi attacchi informatici odierni. Stuxnet e Flame, ma anche Aurora: dietro a questi nomi suggestivi si nascondono realtà ben organizzate, dotate di mezzi tecnici, risorse economiche, determinazione.
Spie a Caccia di Segreti Industriali
I worm e le operazioni citate hanno finalità diverse; i primi (Stuxnet e Flame) sembra abbiano paternità occidentale, con obiettivi ben precisi in medio-oriente; parte invece dalla Cina l’Operazione Aurora finalizzata a scoprire i segreti industriali delle più grandi realtà economiche americane. Dicevo, hanno finalità diverse, ma un modus operandi comune: la capacità di accedere a vulnerabilità zero-day. E forse, oltre alla metodologia, hanno in comune anche la provenienza. Ma andiamo con ordine.
Effetto Sorpresa
Gli zero-day sono vulnerabilità ancora sconosciute non solo al pubblico, ma ai produttori stessi dei software. E’ proprio questa situazione che mette gli hacker in vantaggio rispetto a chi deve difendersi: è l’effetto sorpresa che permette a queste organizzazioni di prendere in contropiede le software house stesse, e di portare a segno incredibili esfiltrazioni di segreti industriali e militari.
Nelle ultime settimane, Java e Microsoft sono state colpite da attacchi zero-day. C’è forse qualcosa in comune tra questi attacchi? E a cosa mirano questa volta gli hacker?
Alla prima domanda si può rispondere positivamente. Sembra infatti che dietro ad entrambi gli attacchi ci sia un team già noto agli esperti di sicurezza, un team di hacker cinesi, noto col nome di Nitro. Sembra infatti che il ricercatore Eric Romang, mentre teneva sotto controllo un server utilizzato dalla suddetta gang, server utilizzato per distribuire lo zero-day Java, abbia trovato anche l’exploit per Internet Explorer.
Nome in Codice: Nitro
.
Della banda Nitro si era già occupata Symantec nel 2011, pubblicando un documento intitolato “The Nitro Attacks”. Già in precedenza questo team aveva effettuato operazioni su vasta scala. In particolare l’attacco aveva come obiettivo colossi del settore chimico.
In quell’occasione l’operazione prendeva il via tramite l’invio di email a dipendenti di aziende designate come obiettivi. Tramite classiche tecniche di social-engineering, gli impiegati venivano ingannati e convinti ad aprire un file allegato contenente un trojan (Poison Ivy), il quale si collegava alle unità di Comando & Controllo gestite dagli hacker. Alcuni indirizzi Ip utilizzati nel 2011 sarebbero gli stessi utilizzati in questi giorni.
La capacità organizzativa, e le risorse necessarie per dotarsi di exploit zero-day indicano un grado di pericolosità elevato da parte di questa banda, e suggeriscono che probabilmente la stagione degli zero-day proseguirà anche nei prossimi mesi.