Cyberattacchi, ecco come i criminali sfuggono a polizia ed esperti di sicurezza

Naviga SWZ: Home Page » News
News del 29 Ottobre 16 Autore: Stefano Fossati
Nella lotta sempre più serrata fra cybercriminali e forze dell’ordine, supportate dalle aziende specializzate in sicurezza informatica, cresce l’utilizzo da parte degli hacker di tecniche ingannevoli per rendere difficile l’identificazione e l’attribuzione dei loro attacchi. E’ la realtà che emerge da un documento presentato al Virus Bulletin dai ricercatori di Kaspersky Lab Brian Bartholomew e Juan-Andres Guerrero-Sade, che evidenzia come sia molto difficile, se non impossibile, stabilire precisamente chi siano davvero gli autori di cyberattacchi sempre più complessi. Per spiegare perché, gli esperti hanno incluso nel documento una sorta di “glossario” degli indicatori più usati dai ricercatori per capire da dove provengono gli attacchi, illustrando come alcuni gruppi criminali conosciuti li abbia manipolati.

Cyberattacchi, ecco come i criminali sfuggono a polizia ed esperti di sicurezza - immagine 1

Timestamp - I file malware hanno un timestamp che indica quando sono stati creati. Se viene raccolto un numero abbastanza alto di sample collegati, è possibile determinare le ore di lavoro degli sviluppatori, e questo può dare un’idea del fuso orario delle loro operazioni. Tuttavia, i timestamp sono facilmente alterabili.

Language marker - I file malware spesso includono stringhe e percorsi debug che possono dare un’idea di chi siano gli autori del codice. L’indizio più ovvio è la lingua usata e il relativo livello di conoscenza. I percorsi debug possono anche rivelare il nome utente e le convenzioni di denominazione interne per progetti o campagne. Inoltre, i documenti di phishing potrebbero essere pieni di metadati che possono involontariamente salvare le informazioni di stato che indicano il computer di un autore. Tuttavia i gruppi criminali possono manipolare facilmente i language marker per confondere i ricercatori. Alcuni indizi di linguaggi ingannevoli lasciati nei malware dal gruppo criminale Cloud Atlas includevano stringhe in arabo nella versione per BlackBerry, caratteri in hindi in quella per Android e le parole “JohnClerk” nel percorso del progetto per iOS, anche se in molti sospettano che il gruppo abbia dei collegamenti con l’Est Europa. Il malware usato dal gruppo criminale Wild Neutron includeva stringhe di linguaggio sia in romeno che in russo.

Collegamenti infrastrutturali e di back-end - Trovare il server di “command and control” (C&C) usato dagli hacker è come individuare il loro indirizzo di casa. Le infrastrutture C&C possono essere costose e difficili da mantenere, quindi anche gli hacker con più risorse hanno la tendenza a riutilizzare i server C&C o le infrastrutture di phishing. Le connessioni back-end consentono di svelare gli hacker, se questi non rendono adeguatamente anonime le connessioni internet. A volte, tuttavia, questi errori sono intenzionali: il gruppo Cloud Atlas ha provato a confondere i ricercatori usando indirizzi IP della Corea del Sud.

Toolkit: malware, codici, password, exploit - Nonostante alcuni gruppi criminali utilizzino tool disponibili pubblicamente, molti preferiscono creare backdoor, strumenti ed exploit personalizzati, proteggendoli gelosamente. La comparsa di una famiglia di malware specifica può perciò aiutare i ricercatori a individuare gli hacker. Il gruppo Turla ha deciso di approfittarne quando si è trovato con le spalle al muro all’interno di un sistema danneggiato: invece che ritirare il proprio malware, i cybercriminali hanno installato un raro pezzo di malware cinese che comunicava con infrastrutture collocate a Pechino, completamente estranee a Turla. Mentre il team di sicurezza ha inseguito il malware ingannevole, il gruppo criminale ha tranquillamente disinstallato il proprio malware per poi cancellarne ogni traccia dai sistemi delle vittime.

Le vittime - I bersagli degli hacker sono un altro possibile indizio rivelatorio, sebbene stabilire un collegamento accurato richieda un forte senso di interpretazione e analisi. Nel caso del gruppo Wild Neutron, ad esempio, la lista delle vittime era così varia da confondere l’attribuzione. Inoltre, alcuni gruppi criminali abusano del desiderio di una connessione chiara tra l’hacker e la vittima, operando sotto copertura a nome di un gruppo di hacktivist, spesso inesistente. E’ ciò che ha provato a fare il gruppo Lazarus spacciandosi per i “Guardiani della Pace” durante l’attacco a Sony Pictures Entertainment nel 2014. In molti ritengono che anche il gruppo criminale Sofacy abbia adottato una tattica simile, fingendosi diversi gruppi di hacktivist. Infine, alcuni hacker tentano di far ricadere la colpa su un altro gruppo di criminali. Questo approccio è stato adottato dal gruppo TigerMilk, finora non identificato, che ha firmato le proprie backdoor con gli stessi certificati rubati, usati in precedenza da Stuxnet.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE