Video: Perchè dovresti preoccuparti di cybersecurity? | Alessio Pennasilico | TEDxVerona (Settembre 2024)
Kaspersky Lab ha pubblicato il primo di un rapporto in due parti su "Red October", un attacco di malware che la società ritiene stia infestando sistemi governativi di alto livello in tutta Europa e potrebbe essere indirizzato specificamente a documenti classificati. Secondo il rapporto, i dati rubati sono dell'ordine di "centinaia di terabyte" e sono rimasti in gran parte inosservati per circa cinque anni.
Red October, o "Rocra", prende il nome dal mese in cui è stato scoperto per la prima volta e il sottomarino russo silenzioso titolare immaginato dall'autore Tom Clancy. Puoi vedere Red October e il suo background su PC Mag.
Attacchi specificamente mirati
Il rapporto descrive Red October come un "quadro", che può essere rapidamente aggiornato per trarre vantaggio dalle debolezze delle sue vittime. Gli aggressori hanno iniziato il loro attacco con e-mail spearphising o documenti infetti su misura per attrarre i loro obiettivi. Una volta infettati, gli intrusi avrebbero raccolto informazioni sul sistema prima di installare moduli specifici per aumentare l'intrusione. Kaspersky contava circa 1.000 di questi file unici, suddivisi in circa 30 categorie di moduli.
Questo è un approccio nettamente diverso da Flame, o altro malware che cattura titoli. Il rapporto afferma che "esiste un alto grado di interazione tra gli aggressori e la vittima: l'operazione è guidata dal tipo di configurazione della vittima, dal tipo di documenti che utilizza, dal software installato, dalla lingua madre e così via".
"Rispetto a Flame e Gauss, che sono campagne di cyberespionage altamente automatizzate, Rocra è molto più" personale "e ottimizzato per le vittime", scrive Kaspersky.
Gli aggressori erano tanto subdoli quanto metodici, cambiando in realtà tattiche per impiegare informazioni rubate. "Le informazioni raccolte da reti infette vengono riutilizzate negli attacchi successivi", scrive Kaspersky. "Ad esempio, le credenziali rubate sono state compilate in un elenco e utilizzate quando gli aggressori avevano bisogno di indovinare password e credenziali di rete in altre posizioni."
Stare lontano dal radar
Questo tipo di attacco mirato non solo ha permesso a coloro che stavano dietro a Red October di perseguire obiettivi di alto livello, ma ha anche aiutato l'operazione a rimanere inosservata per anni. "La combinazione di aggressori altamente qualificati e ben finanziati e una distribuzione limitata significa generalmente che il malware è in grado di rimanere sotto il radar per un periodo di tempo significativo", ha detto il ricercatore senior di Kaspersky Roel Schouwenberg a SecurityWatch . "Inoltre, non abbiamo visto l'uso di alcuna vulnerabilità zero-day, che dimostra ancora una volta quanto sia importante il patching."
Schouwenberg ha continuato dicendo che molteplici livelli di sicurezza possono aiutare a bloccare questo tipo di attacchi. Ha detto a SecurityWatch , "questo è il motivo per cui la difesa in profondità è importante ed entrano in gioco approcci come rifiuto predefinito, whitelisting e controllo delle applicazioni. Gli attacchi possono essere fermati anche senza un rilevamento preciso".
Non necessariamente il lavoro delle nazioni
Nonostante gli obiettivi di alto livello, Kaspersky sottolinea che non esiste un legame definitivo con un attacco sponsorizzato dallo stato. Il rapporto afferma che mentre le informazioni mirate potrebbero essere preziose per le nazioni, "tali informazioni potrebbero essere scambiate nel sottosuolo e vendute al miglior offerente, che può essere ovviamente, ovunque".
Minacce su misura come Red October sono il tipo di scenari peggiori che tengono svegli gli addetti alla sicurezza al Pentagono per tutta la notte. Fortunatamente, la specificità che ha reso il successo di Red October significa anche che è improbabile che minacci consumatori regolari come te e me.
Sfortunatamente, ciò non cambia il fatto che un nuovo e potente giocatore ha operato dietro le quinte per anni.
Per ulteriori informazioni su Max, seguilo su Twitter @wmaxeddy.
