Spionaggio di stato: c’è un ISP che distribuisce il trojan FinFish


Un fornitore di connessione a Internet dirotta i download di programmi come Skype e Whatsapp per far scaricare una versione infetta delle app.

L’allarme è stato lanciato da ESET ed è di quelli che fanno cadere le braccia: da qualche parte nel mondo c’è un Internet Service Provider (ISP) che agisce attivamente per diffondere un malware che permette di spiare il dispositivo compromesso.

Nel dettaglio stiamo parlando di FinFisher, un tool di spionaggio (che ha anche una versione mobile) sviluppato da Lench IT Solutions e che viene venduto a servizi segreti e forze di polizia di tutto il mondo, compresi paesi retti da dittatori che non brillano particolarmente per il rispetto dei diritti civili.

FinFisher è un classico trojan che consente a chi lo usa di prendere il controllo del computer infetto, intercettare le comunicazioni, copiare dati e installare qualsiasi altro genere di malware sul dispositivo.

Naturalmente per arrivare a questo punto è necessario riuscire a indurre la vittima a installare il malware, che fino a oggi era stato distribuito attraverso metodi piuttosto tradizionali, come lo spear phishing.

Ora si scopre che un ISP che opera in almeno due paesi (ma ESET non dice quali siano per questioni che possiamo definire di “ordine pubblico”) lo sta diffondendo, presumibilmente su “ordinazione” da parte di un qualche governo, attraverso una tecnica che non lascia scampo alle vittime.

I ricercatori di ESET sono piuttosto prudenti e nel loro report usano il condizionale, spiegando che l’attacco “sembrerebbe” essere portato direttamente dall’ISP. La descrizione della tecnica, però, lascia pochi dubbi.

ISP FinFish

Un vero e proprio dirottamento che porta a scaricare un installer “modificato” che contiene FinFisher. Di fronte a un attacco del genere, qualsiasi precauzione è inutile.

In pratica l’attacco avviene al momento del download del file di installazione di un software di uso comune (i ricercatori citano Whatsapp, Skype, Avast, VLC e WinRAR) e consiste in un dirottamento attraverso il codice di risposta HTTP 307.

Quest’ultimo indica un reindirizzamento temporaneo di un collegamento. Detto in soldoni: l’ISP dirotta l’utente in modo che scarichi un file infetto al posto dell’applicazione legittima.

Ma quali sono gli indizi che portano a pensare all’attività di un ISP? Prima di tutto il fatto che un’ipotesi del genere è già stata concepita dalla stessa Lench IT Solutions che, come riporta un documento pubblicato da WikiLeaks, offre proprio una soluzione di questo tipo chiamata FinFly ISP.

Le analisi di ESET, poi, confermano la teoria: “la tecnica dell’infezione” scrivono nel report, “viene implementata allo stesso modo in entrambi i paesi colpiti, cosa che è molto improbabile a meno che non sia stata sviluppata e/o fornita dalla stessa fonte”. L’ultima conferma arriva dal fatto che tutti gli obiettivi interessati all’interno di un paese stanno utilizzando lo stesso ISP.

Se così fosse (come sembra) è chiaro che il provider non sta agendo di sua iniziativa ma su ordine delle autorità del paese. A confermarlo è anche il fatto che tra i software colpiti ci sia Threema, un messenger sicuro che utilizza un sistema di crittografia end-to-end e che viene usato spesso da giornalisti, attivisti politici e dissidenti. Esattamente le categorie di persone che finirebbero nel mirino di un regime intenzionato a spiare l’attività dei suoi oppositori.



Articoli correlati

Altro in questa categoria


La SEC hackerata nel 2016, ma lo si scopre solo ora


Gli hacker hanno avuto accesso a informazioni riservate che potrebbero aver usato per avvantaggiarsi con speculazioni in borsa.

È proprio il caso di dirlo: questa volta qualcuno ha davvero fatto il colpo grosso. Gli hacker di cui stiamo parlando hanno infatti violato nientemeno che i sistemi informatici della Security and Exchange Commission (SEC) statunitense, mettendo le mani su informazioni che gli avrebbero permesso di guadagnare cifre stratosferiche.

La cosa più sconcertante, però, è che la notizia arriva con più di un anno di ritardo. Stando al comunicato emesso dalla stessa agenzia, infatti, l’intrusione risalirebbe al maggio del 2016.

La notizia della violazione è stata infatti inserita quasi incidentalmente in un corposo comunicato dal titolo “Statement on Cybersecurity” in cui il presidente del C.d.A. della SEC riassume il quadro generale riguardante la sicurezza informatica, le attività portate avanti, gli orizzonti futuri e… il fatto che un gruppo di pirati ha fatto breccia in EDGAR.

Stiamo parlando del sistema di Electronic Data Gathering, Analysis, and Retrieval (EDGAR appunto) che la SEC mette a disposizione per consultare liberamente i dati e le documentazioni relativi al mercato finanziario USA.

SEC hackerata

EDGAR contiene una quantità impressionante di informazioni sulle società quotate in borsa e può essere consultato liberamente. In memoria, però, ci sono anche documenti che non sono ancora stati resi pubblici…

Il problema è che se tra i dati accessibili attraverso l’interfaccia sul sito della SEC non c’è nulla di particolarmente “sensibile”, al suo interno ci sono informazioni non ancora rese pubbliche (progetti di fusione tra società, quotazioni in borsa e simili) che nelle mani delle persone giuste possono valere milioni.

Quello che si sa per il momento è quanto viene riassunto in un laconico comunicato di Michael S. Piwowar, uno dei membri della commissione. Qui si legge testualmente: “Nel corso della revisione (del profilo di rischio a livello di sicurezza informatica – ndr) sono stato recentemente informato del fatto che nel maggio 2016 si è verificata un’intrusione nel sistema EDGAR”.

Insomma: a quanto si capisce la violazione è stata individuata l’anno scorso ma nessuno si è preso la briga di renderla pubblica o per lo meno di avvisare la dirigenza. Ora, però, la SEC pensa che l’incidente abbia “posto le basi per guadagni illeciti attraverso le operazioni di trading”.

Naturalmente la commissione annuncia di aver avviato una procedura per investigare su quanto avvenuto e chiarire come questo sia potuto accadere. Sarà interessante scoprire, però, come sia stato possibile che non si sia avuto notizia dell’attacco per ben 16 mesi.



Articoli correlati

Altro in questa categoria


Dibattito tra i pirati informatici: Ransomware sì o no?


Sui forum frequentati dai cyber-criminali viene messa in dubbio l’opportunità di consentirne la vendita. “Ci danneggiano”.

Chi frequenta abitualmente i forum nei bassifondi del Web giura che l’intervento degli amministratori nelle discussioni sono piuttosto rari. Ultimamente, però, sono parecchi gli admin che hanno fatto sentire la loro voce nel dibattito che sta animando i siti frequentati da hacker e pirati informatici.

Il tema è quello dei ransomware e dell’opportunità di consentire ai frequentatori dei forum di vendere liberamente il codice per crearli.

Qual è il problema? In buona sostanza è che il business legato alla diffusione dei ransomware sembra rappresentare un problema per gli stessi cyber-criminali. Nonostante sia un’attività particolarmente profittevole (come abbiamo spiegato in questo articolo) questa categoria di malware non è vista di buon occhio nemmeno dai pirati della vecchia scuola, che hanno considerato l’ipotesi di bannare i distributori di ransomware dai loro forum.

A spiegarlo sono i ricercatori di Anomali, che nel corso delle loro attività di intelligence hanno tenuto sotto controllo il dibattito e ora ne hanno riassunto i contenuti i un post pubblicato sul blog dell’azienda di sicurezza.

Come spiegano i ricercatori, la discussione è nata nei forum collegati al cyber-crimine in settori dell’est europeo e in particolare delle repubbliche ex-sovietiche e in Russia.

Più che il contorno e la provenienza dei partecipanti, ciò che risulta interessante sono le motivazioni che animano il dibattito. Stando a quanto riportano gli analisti di Anomali, fino a un certo punto non sono comparse questioni etiche o valutazioni di carattere altruistico, quanto ragionamenti dettati da una fredda valutazione di costi e benefici.

Le cose, però sarebbero cambiate il 5 febbraio del 2016, dopo un attacco ransomware diretto all’Hollywood Presbyterian Medical Center. In quell’occasione, infatti, molti cyber-criminali hanno espresso la loro contrarietà nei confronti di un’azione che stava mettendo a rischio la vita dei pazienti ricoverati nell’ospedale.

ransomware

I ransomware sono ormai distribuiti come “malware as a service”. Chiunque può comprarne uno e distribuirlo e la cosa non piace molto ai cyber-criminali della vecchia scuola che sono abituati a guadagnarsi il pane scrivendo in prima persona il codice dei loro malware.

Un tema che è tornato di attualità quando ha fatto la sua comparsa WannaCry, che ha colpito con particolare violenza numerose strutture ospedaliere nel Regno Unito. Insomma: i cyber-criminali russi possono anche dimostrarsi spietati fino a quando si parla di denaro, ma quando finiscono in gioco delle vite umane, qualche dubbio viene anche a loro.

Oggi, dopo la conclusione del cosiddetto “anno d’oro dei ransomware”, i dubbi di natura etica sembrerebbero essere scomparsi per lasciare il posto ad altre valutazioni di carattere molto più prosaico.

Secondo i ricercatori, la contrarietà ai ransomware sarebbe dettata da motivazioni legate all’opportunità di evitare attacchi che rischiano di modificare lo scenario in cui i cyber-criminali operano.

Nel dettaglio, molti dei partecipanti ai forum in lingua russa del Deep Web ritengono che i ransomware attirino troppa attenzione sul tema della sicurezza informatica, rovinando in buona sostanza gli affari di chi porta attacchi di altro genere.

Il rischio, insomma, è che a causa del pericolo ransomware le aziende e i normali utenti finiscano per adottare misure di sicurezza più efficaci, rovinando il campo all’attività dei pirati informatici.

C’è anche un’altra argomentazione che i detrattori dei ransomware portano a sostegno dell’ipotesi di una “cacciata” di chi li distribuisce dai forum.

Tra i cyber-criminali dell’est Europa, infatti, esiste una regola non scritta che tutti rispettano scrupolosamente e che potremmo riassumere con il proverbiale “non sputare nel piatto in cui mangi”. Tradotto nel caso specifico: “non attaccare direttamente la Russia”.

Il motivo è da ricercare nell’atteggiamento delle autorità russe nei confronti dei pirati informatici, che nella pratica vengono di fatto tollerati, fornendo una collaborazione di facciata con le forze di polizia occidentale che non corrisponde a un reale impegno nel perseguire i cyber-criminali che operano sul territorio. Almeno fino a quando non diventano un problema per la nazione.

Non è un caso che in molti malware gli esperti di sicurezza abbiano in passato individuato accorgimenti tecnici all’interno dei malware che avevano l’obiettivo dichiarato di escludere dagli obiettivi gli utenti residenti in Russia, per esempio analizzando l’indirizzo IP delle vittime prima di colpire.

I ransomware, secondo molti cyber-criminali, sono strumenti troppo facili da usare e da ottenere. Il rischio, quindi, è che qualche pivello finisca per usarli in campagne di distribuzione localizzate nel “paese amico” rompendo quella sorta di patto di non belligeranza esistente tra i pirati e le autorità costituite.

Secondo i ricercatori di Anomali, una sorta di referendum informale tra i cyber-criminali avrebbe visto un 48,5% esprimersi per il ban dei ransomware dai loro forum. Visto che tra questi ci sono voti “pesanti” (come quelli degli amministratori dei forum) non è detto che in futuro la fazione che osteggia la diffusione dei ransomware non finisca per bloccarne la diffusione sui loro forum.

Al punto in cui stanno le cose, però, è difficile dire quanto una decisione simile possa impattare sulla loro diffusione. Il fenomeno, infatti, ha ormai raggiunto dimensioni tali da far pensare che anche un “boicottaggio interno” possa non avere grandi effetti.



Articoli correlati

Altro in questa categoria


L’attacco con CCleaner puntava ai giganti dell’informatica. Spionaggio industriale?


Nuovi elementi emergono dalle indagini dei ricercatori. Nel mirino Microsoft, Cisco, Samsung, Sony e altre note aziende del settore.

Dietro l’attacco che ha sfruttato CCleaner come vettore di attacco ci potrebbe essere un gruppo di hacker di alto livello o che, per lo meno, puntavano decisamente in alto. L’obiettivo, infatti, erano alcune tra le più famose aziende del settore IT.

A rivelarlo sono i ricercatori del gruppo Talos di Cisco, che sono riusciti a mettere le mani su alcuni file conservati all’interno dei server Command and Control (C&C) a cui si collega il malware.

Come abbiamo riportato in un articolo precedente, l’attacco è stato progettato per utilizzare una strategia in due fasi. La backdoor inserita dai pirati nella versione di CCleaner distribuita tra agosto e settembre ha infatti un’unica funzione: contattare un server C&C dal quale scaricare del codice.

Sarebbe questo il vero e proprio payload, cioè il codice dannoso che i pirati puntano a installare sui computer compromessi. Nella prima analisi dei ricercatori, però, non si era trovato alcun indizio che la seconda fase fosse stata avviata.

Insomma: il quadro in un primo momento sembrava essere quello di una clamorosa violazione dei sistemi di Piriform che aveva portato a una distribuzione di massa della backdoor. L’ipotesi, però, era che si trattasse di un gruppo di “classici” cyber-criminali che puntavano a colpire il maggior numero possibile di computer sparando nel mucchio.

Le nuove scoperte gettano una luce completamente diversa sulla vicenda. Sui server C&C, infatti, i ricercatori hanno trovato una serie di file tra i quali c’è anche il famoso payload che fino a questo momento non era stato identificato.

Non solo: quello che il gruppo Talos ha scoperto è che il payload veniva distribuito solo su un ristrettissimo numero di computer che venivano selezionati in base al dominio a cui apparteneva la rete a cui erano collegati. Si tratterebbe quindi di un attacco mirato e non di una “pesca a strascico” come era sembrato in un primo momento.

Gli obiettivi, in particolare, sarebbero alcune aziende che operano nel mondo dell’informatica: Microsoft, Samsung, VMware, MSI, Sony, D-Link (come se non avesse già abbastanza problemi) e la stessa Cisco, cioè l’azienda a cui fa riferimento il gruppo Talos.

CCleaner spionaggio

L’elenco dei bersagli contiene il fior fiore dell’industria informatica mondiale. L’ipotesi più probabile, quindi, è che si tratti di un tentativo di spionaggio industriale.

Non solo: analizzando i dati presenti sui server C&C, gli analisti di Talos hanno trovato indizi del fatto che la seconda fase dell’attacco sia stata in realtà avviata nei confronti di una ventina di computer.

L’analisi del trojan, del quale i ricercatori non elencano le funzionalità, denota l’uso di tecniche sofisticate di offuscamento che fanno pensare in ogni caso all’opera di un gruppo di pirati particolarmente capaci.

Il codice dannoso, infatti, viene inserito in un file che fa parte di un software di sicurezza Symantec e usa una serie di accorgimenti che lo rendono difficile da individuare.

Quello che in un primo momento ha stupito di più, a fronte dell’uso di strumenti così sofisticati, è la strategia utilizzata e la scelta di CCleaner come vettore di attacco.

Per quanto sia un software apprezzato e molto diffuso (il sito vanta 2 miliardi di download) è pur sempre un tool gratuito che di solito viene usato da utenti comuni e che viene da pensare si trovi difficilmente in ambito aziendale.

La spiegazione è tutto sommato semplice: CCleaner, infatti, oltre alla più nota versione gratuita ha anche una versione professionale (basata su cloud) pensata proprio per il mondo delle aziende. Guarda caso, il primo report di Talos specifica che i pirati hanno inserito la backdoor anche in questa versione.

CCleaner spionaggio

La versione cloud di CCleaner è pensata specificatamente per le aziende. Tra le società che la usano compare anche Samsung, una di quelle prese di mira dai pirati.

L’inserimento della backdoor all’interno della versione gratuita, quindi, potrebbe essere stato usato come specchietto per le allodole per mascherare le reali intenzioni dei pirati.

Difficile, infine, azzardare ipotesi riguardo gli autori dell’attacco. Gli unici elementi riportati da Talos (ma nel report si specifica che sono insufficienti per parlare di una possibile attribuzione) puntano il dito verso la Cina.

In particolare viene fatto notare che il malware utilizza il fuso orario cinese per determinare alcune operazioni e che gli analisti di Kaspersky avrebbero individuato alcune analogie tra il codice usato nell’attacco con quello usato in passato dal Group 72, che in passato qualcuno aveva ipotizzato essere collegato in qualche modo alla Cina. Troppo poco, però, per trarre qualche conclusione.



Articoli correlati

Altro in questa categoria


Da Pirate Bay al plugin Chrome: CPU degli utenti usata per creare cripto-valuta


Un JavaScript sfrutta la potenza di calcolo generare denaro virtuale. The Pirate Bay l’ha messo sul sito, ma è comparso anche in un’estensione per Chrome.

Non date retta a chi vi dice che generare Bitcoin o altre cripto-valute col proprio computer non costa niente. Costa eccome, e più precisamente il costo ce lo ritroviamo sotto forma di bolletta dell’energia elettrica a fine mese.

I calcoli che servono per “partecipare” alla gestione di una cripto-valuta e ottenere in cambio denaro virtuale spremono infatti la CPU al punto di aumentare i consumi di energia a livelli per cui, nella maggior parte dei casi, il valore della moneta virtuale ottenuta non copre i consumi.

Naturalmente le cose cambiano se a pagare la bolletta è qualcun altro, magari una delle vittime di un trojan (come abbiamo spiegato in passato succede sempre più spesso) o, ancora meglio, o l’ignaro visitatore di una pagina Web.

A rendere ancora più facili le cose per gli “scrocconi dei Bitcoin” ci hanno pensato gli sviluppatori legati a Coinhive, che hanno realizzato un JavaScript in grado di “minare” cripto-valuta proprio come fanno i tradizionali software.

A differenza di questi ultimi, però, il JavaScript in questtone non ha bisogno di installazione sul sistema operativo e può tranquillamente girare sul browser. Anzi: è possibile inserirlo nelle proprie pagine Web e fare in modo che ogni visitatore “contribuisca” al lavoro.

Il JavaScript, nel dettaglio, genera Monero, una cripto-valuta in gran spolvero che, stando a quanto sostengono i suoi creatori, consente di godere di un livello di anonimato superiore rispetto ai Bitcoin.

A cercare di usarlo per raggranellare qualche euro ci hanno provato nei giorni scorsi i gestori di Pirate Bay, il motore di ricerca per i file Torrent che sabato scorso per qualche tempo si è trasformato in un vero buco nero in grado di assorbire potenza computazionale a ritmi da brivido.

Pirate Bay Chrome miner

Nonostante sia stato chiuso a più riprese, The Pirate Bay è ancora usato da migliaia di persone per individuare i Torrent con cui scaricare materiale protetto da copyright. Peccato che con l’inserimento di un miner che spreme la CPU durante le ricerche diventi quasi più conveniente comprarsi il DVD…

Alle proteste dei visitatori, che hanno visto l’attività delle loro CPU schizzare all’85% mentre visitavano le pagine, gli amministratori del sito hanno risposto con un comunicato che non nega affatto l’inserimento del JavaScript, ma lo descrive come “un esperimento per sostituire le pubblicità come mezzo di finanziamento”.

Già, peccato che le pubblicità non finiscano nelle bollette da pagare a fine mese e, viste le reazioni dei visitatori, possiamo dire che l’esperimento può considerarsi fallito.

La stessa tecnologia, questa volta modificata per integrarla direttamente nel browser indipendentemente dal sito che si sta visitando, è stata utilizzata ora in un’estensione per Chrome chiamata SafeBrowse e che ha circa 140.000 utilizzatori.

Anche in questo caso gli utenti hanno registrato un’attività del processore balzata alle stelle, spiegabile con il fatto che il computer viene “arruolato” nella generazione di Monero all’insaputa del proprietario.

Pirate Bay Chrome miner

I colleghi di Bleeping Computer hanno fatto in tempo a provare SafeBrowse prima che venisse rimossa. Risultato: CPU che viaggia al 60% per gestire un’estensione di Chrome.

Nel momento in cui scriviamo, sul sito di Chrome l’estensione non compare in elenco e il link che compare nelle ricerche su Google restituisce un errore 404. Probabile, quindi che Google l’abbia rimossa.

Stando a quanto riporta Bleeping Computer, che ha contattato gli sviluppatori di SafeBrowse, questi ultimi si sarebbero difesi dicendo di non sapere nulla e di non avere niente a che fare con l’inserimento del JavaScript all’interno dell’estensione. Secondo loro è probabile che si tratti dell’azione di un hacker. E noi ci crediamo, vero?



Articoli correlati

Altro in questa categoria


Falla di sicurezza in iTerm2. “Dati sensibili a rischio”


Una funzione nel terminale per Mac inviava dati in chiaro che avrebbero potuto essere intercettati. L’autore del programma: “non avevo considerato il problema”.

Chi ha utilizzato iTerm2 (un’applicazione che sostituisce il terminale predefinito del Mac – ndr) negli ultimi 12 mesi potrebbe aver sparso ai quattro venti informazioni personali, comprese eventualmente username e password di qualsiasi tipo di servizio.

A provocare il leak (involontario) di informazioni sensibili è una funzione introdotta nel luglio del 2016 che esegue una verifica automatica per capire se nel testo è presente un’URL. Il problema è che la verifica avviene attraverso una richiesta ai server DNS per ogni parola su cui viene posizionato il mouse.

Risultato: tutte le parole vengono inviate (in chiaro) via Internet per la verifica sui server DNS. Chiunque abbia la possibilità di intercettare il traffico, quindi, potrebbe ficcare il naso in quello che viene scritto sul terminale.

iTerm2 sicurezza

Il problema, in realtà, non emerge per la prima volta. Nella prima versione (3.0.0) di iTerm2 rilasciata nel 2016 la funzione era addirittura “bloccata” e il suo autore, George Nachman, aveva inserito la possibilità di disattivarla solo nella versione 3.0.13, dopo che un ricercatore di sicurezza aveva sollevato il problema.

In quel caso, però, l’attenzione era stata concentrata su un altro aspetto, cioè sul fatto che la funzione avrebbe potuto creare un problema nel momento in cui avesse fatto “partire” una richiesta DNS indesiderata. L’autore del programma, quindi, aveva semplicemente introdotto la possibilità di disattivarla ma l’aveva mantenuta attiva nelle impostazioni predefinite.

Sulla scorta di una recente segnalazione, però, Nachman si è reso conto del fatto che il rischio era molto più elevato e ha deciso quindi di eliminarla rilasciando la versione 3.1.1 del terminale “alternativo”.



Articoli correlati

Altro in questa categoria