(Milano, 5 Ottobre 2017) – Secondo il Global Research and Analysis Team (GReAT) di Kaspersky Lab, i piu’ sofisticati criminali informatici stanno attaccando in modo attivo altri gruppiu’ criminali allo scopo di sottrarre i dati delle vittime, prendere in prestito strumenti e tecniche e sfruttare le loro infrastrutture – rendendo meno precisa l’indagine dei ricercatori di sicurezza che utilizzano la threat intelligence.
Roma, 5 Ottobre 2017 – L’accuratezza della threat intelligence si basa sull’identificazione di modelli e strumenti che determinano un particolare gruppo criminale. Tale conoscenza consente ai ricercatori di mappare meglio obiettivi, vittime e comportamenti dei criminali e aiuta le organizzazioni a determinare il proprio livello di rischio. Quando i criminali iniziano ad attaccarsi a vicenda e appropriarsi di strumenti, infrastrutture e persino a prendere di mira le vittime degli altri gruppi, questo modello tende a collassare rapidamente.
Secondo Kaspersky Lab questi attacchi vengono attuati, con molta probabilita’, da gruppiu’ criminali sostenuti da stati-nazione, che prendono di mira gruppiu’ di altre nazionalita’ o meno abili. E’ importante che i ricercatori di sicurezza informatica imparino a riconoscere e interpretare i segni che distinguono questi attacchi, in modo da poter contestualizzare la threat intelligence in questo nuovo scenario.
Analizzando in modo piu’ dettagliato questo tipo di attacchi, i ricercatori del GReAT team hanno identificato due approcci principali: passivo e attivo. Gli attacchi di tipo passivo implicano l’intercettazione dei dati di altri gruppiu’ durante i trasferimenti, ad esempio, dalla vittima ai server di comando e controllo quando, in sostanza, sono quasi impossibili da intercettare. L’approccio attivo, invece, implica l’infiltrazione all’interno della infrastruttura nociva dell’altro gruppo criminale.
Utilizzando l’approccio attivo, il rischio di essere identificati e’ molto piu’ alto ma allo stesso tempo offre molti piu’ benefici in quanto permette ai criminali di estrapolare periodicamente delle informazioni, monitorare obiettivi e vittime e inserire eventualmente anche il proprio impianto o lanciare un attacco fingendosi la vittima.
Durante un’indagine su specifici gruppiu’ criminali, il GReAT team ha rilevato un numero alquanto strano e inaspettato di indizi che suggerivano come questi attacchi di tipo attivo venissero gia’ lanciati in-the-wild.
Esempi:
1. Backdoor installate nell’infrastruttura di comando e controllo (C&C) di un’altra entita’
Installare una backdoor all’interno di una rete attaccata consente ai criminali di inserirsi in modo persistente all’interno delle operazioni di un altro gruppo. I ricercatori di Kaspersky Lab hanno rilevato due esempiu’ di queste backdoor.
Una di queste e’ stata rilevata nel 2013, analizzando un server utilizzato da NetTraveler, una campagna in lingua cinese per attivisti e organizzazioni in Asia. La seconda e’ stata trovata nel 2014, mentre i ricercatori stavano indagando su un sito web compromesso e utilizzato da Crouching Yeti (noto anche come Energetic Bear), un gruppo criminale in lingua russa che dal 2010 prendeva di mira il settore industriale. I ricercatori hanno notato che per un breve periodo, il panel che gestiva la rete del C&C e’ stato modificato con un tag che puntava a un IP remoto in Cina (probabilmente una false flag). I ricercatori ritengono che questa backdoor possa appartenere ad un altro gruppo, anche se non ci sono indizi che indichino di quale gruppo si tratti.
2.Condividere siti web compromessi
Nel 2016, i ricercatori di Kaspersky Lab hanno scoperto che un sito web compromesso da DarkHotel, un gruppo criminale di lingua coreana, ospitava anche script per exploit di un altro gruppo chiamato ScarCruft, che prendeva di mira prevalentemente organizzazioni russe, cinesi e sud coreane. L’operazione DarkHotel risale ad aprile 2016, mentre gli attacchi ScarCruft sono stati implementati un mese piu’ tardi, questo potrebbe voler dire che ScarCruft prima di lanciare i propri attacchi ha osservato quelli di DarkHotel.
3.Targeting-by-proxy
Infiltrarsi in un gruppo che ha una presenza consolidata in una determinata regione o settore industriale, consente agli attaccanti di ridurre i costi e migliorare il targeting, beneficiando della competenza specialistica del gruppo vittima.
Alcuni gruppiu’ criminali piuttosto che sottrarre le vittime preferiscono condividerle. Questo approccio e’ rischioso perche’ nel caso uno dei gruppiu’ meno avanzati venisse catturato, l’analisi forense sarebbe in grado di identificare anche l’identita’ degli altri. A novembre 2014, Kaspersky Lab aveva scoperto che un server appartenente ad un istituto di ricerca del Medio Oriente, noto come Magnet of Threats, aveva ospitato contemporaneamente gli impianti di gruppiu’ criminali quali Regin e Equation Group (in lingua inglese), Turla e ItaDuke (in lingua russa), cosi’ come Animal Farm (lingua francese) e Careto (in lingua spagnola). Infatti, questo server e’ stato il punto di partenza per la scoperta di Equation Group.
“Attribuire un attacco ad un gruppo criminale non e’ semplice in quanto gli indizi sono rari e facilmente manipolabili e se a questo si aggiunge anche il fatto che si ‘attaccano – a vicenda lo diventa ancora di piu’. Sfruttare strumenti, vittime e infrastrutture di altri gruppi, inserire i propri impianti o utilizzare l’identita’ della loro vittima per lanciare ulteriori attacchi, impedisce ai ‘threat hunter – di costruire un quadro chiaro e preciso della situazione. Alcuni indizi ci lasciano pensare che questi attacchi si stiano gia’ verificando in-the-wild, e questo dovrebbe far riflettere i ricercatori di threat-intelligence sul fatto che sara’ necessario adattare il proprio modo di investigare a questi nuovi metodi soprattutto quando si troveranno ad analizzare il lavoro di gruppiu’ criminali avanzati”, ha dichiarato Juan Andres Guerrero-Saade, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab.
Per stare al passo con la rapida evoluzione delle minacce moderne, Kaspersky Lab consiglia alle imprese di implementare una piattaforma di sicurezza su vasta scala combinata con servizi di threat intelligence di ultima generazione. Il portfolio di sicurezza endpoint di Kaspersky Lab offre alle aziende la prevenzione dalle minacce grazie all’innovativa suite di sicurezza per endpoint, il rilevamento basato sulla piattaforma Kaspersky Anti Targeted Attack e la detection & response degli incidenti attraverso i servizi di threat intelligence.
E’ possibile trovare ulteriori dettagli sulle modalita’ con cui i criminali informatici acquisiscono e riutilizzano elementi di altri gruppi, inclusi il ripristino degli strumenti e il clustering dei malware, e sulle conseguenze che questo ha per la threat intelligence, nel rapporto Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell
Per avere maggiori informazioni sul report Private Intelligence di Kaspersky Lab e’ possibile contattare: [email protected]
Informazioni su Kaspersky Lab
Kaspersky Lab e’ un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attivita’. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Piu’ di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere cio’ che e’ per loro piu’ importante. Per ulteriori informazioni:
www.kaspersky.com/it
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)