- SandBox Information Center
- Malware Analysis Search
- Articoli sulla sicurezza
- Blog sulla sicurezza [EN]
- Livello di pericolosità [EN]
- Minacce attuali di virus
- Tipi di malware [EN]
- Descrizione dei virus [EN]
- Statistiche sulla posta elettronica [EN]
- Testi, white paper generici ed altro
- La tecnologia Norman
GhostNet - una vera rete di spionaggio
Introduzione
All'inizio di questa settimana l'attenzione dei media si è concentrata su un rapporto datato 29 marzo proveniente dall'Information Warfare Monitor (Canada) intitolato Localizzazione di GhostNet: indagine su una rete di spionaggio informatico.
Uno dei motivi per cui questo rapporto ha ricevuto molta attenzione da parte dei media è stato il fatto che in esso viene mostrato come numerosi computer appartenenti ai governi e alle organizzazioni internazionali siano stati compromessi. Tra i computer colpiti vi sono quelli di numerose ambasciate in tutto il mondo e un computer della NATO.
Questo rapporto verrà utilizzato come base per l'articolo sulla sicurezza di questa settimana.
Punti salienti del rapporto
Prima di tutto l'indagine si è concentrata su un presunto pirata informatico cinese che spiava le istituzioni tibetane, in particolare quelle con qualche collegamento con il Dalai Lama e le sue organizzazioni.
Gli obiettivi
Tuttavia, una rete molto più ampia è stata scoperta quasi subito nel corso dell'indagine. In totale sono stati rilevati 1295 computer compromessi in 103 paesi diversi. In una simile indagine, ovviamente, uno dei problemi è costituito dall'identificazione del proprietario di un computer compromesso. Quindi, il rapporto utilizza un grado di sicurezza a tre livelli per l'identificazione. Tra quelli con grado elevato di sicurezza sull'appartenenza delle macchine coinvolte, si trovavano computer appartenenti (tra molti altri) alle seguenti istituzioni:
- Banca di sviluppo asiatico (in due diversi paesi)
- Associated Press Regno Unito (in due diversi paesi)
- Deloitte & Touche (Stati Uniti)
- Ambasciata dell'India (in numerosi paesi diversi, inclusi Germania, Italia e Stati Uniti)
- Ambasciata di Romania (in numerosi paesi diversi, incluse Francia, Finlandia e Norvegia)
- Molte altre ambasciate in tutto il mondo
- NATO (sede di SHAPE) in Olanda
- Ufficio del Primo ministro del Laos
Tecniche utilizzate
L'indagine fornisce il seguente scenario relativo all'esecuzione dell'attacco e all'utilizzo di GhostNet:
- Un messaggio e-mail viene inviato a un obiettivo.
Questo messaggio e-mail è un attacco di spear phishing, e utilizza tecniche di social engineering personalizzate per indurre l'obiettivo ad aprire un allegato apparentemente legittimo e importante. - All'apertura dell'allegato, il computer viene infettato (sfruttando una vulnerabilità del software) con un cavallo di Troia.
- Questo cavallo di Troia (di solito denominato gh0st RAT) si collega a un server.
La maggior parte dei server rilevati aveva indirizzi IP ubicati in Cina, ma anche altre località erano coinvolte. - I server a cui i computer infetti si collegano sono utilizzati per eseguire tali operazioni
- Controllo dei computer infetti mediante l'emissione di comandi ai suddetti computer. Tali comandi potrebbero caricare documenti importanti o altre informazioni su computer in GhostNet.
- Scaricamento di software con nuove funzionalità dannose nei computer compromessi.
- Esistono due tipi di server coinvolti in GhostNet, i server di controllo e i server di comando. Le loro funzionalità sono diverse, ma anche sovrapponibili.
L'elenco indicato in precedenza è una versione breve e semplificata di uno scenario di infezione.
L'indagine ha mostrato che il computer infettato inizialmente (al punto 1 dell'elenco) potrebbe essere utilizzato come strumento per infettare altri computer nella rete. L'indagine ha inoltre rilevato altri vettori di infezione rispetto ai messaggi e-mail mirati, ad esempio infezioni immediate che si verificano tramite la visita a siti Web compromessi.
Da chi?
Sebbene possa essere una tentazione presumere che i responsabili dell'attacco siano elementi strettamente collegati alle autorità cinesi, il rapporto è ben lontano dal confermare tale ipotesi. Il rapporto sottolinea l'importanza di evitare giudizi precipitosi, poiché altre spiegazioni sono possibili, inclusi intenti meramente lucrativi da parte di organizzazioni criminali. Il fatto che una gran parte di attività dannose sembri avere origine in Cina non è di per sé particolarmente sorprendente, dal momento che la Cina è il paese con il maggior numero di utenti Internet.
I responsabili dell'indagine su cui si basa il rapporto fanno notare che in Internet molti meccanismi sono a disposizione di coloro che desiderano nascondere la loro identità e/o origine. Questo è uno dei principali ostacoli che impediscono di arrestare attività simili a quelle analizzate nel rapporto GhostNet.
Osservazioni generali e raccomandazioni
Il rapporto GhostNet è un esempio eccellente da studiare per chi è interessato ai dettagli sulle modalità di impostazione e funzionamento di un sistema di spionaggio sistematico (contro organizzazioni e/o nazioni). È saggio presumere l'esistenza di numerose altre reti similmente dannose già impostate e in uso, nonché prevedere che altre verranno create.
Le attività dannose iniziate da individui, gruppi e perfino nazioni, tramite l'uso di software appositamente creato e di Internet, dispongono di numerosi vantaggi rispetto a qualcuno che persegue gli stessi fini utilizzando altri strumenti. Di seguito vengono citati solo alcuni di questi vantaggi:
- Gli strumenti basati su Internet sono molto più economici e di solito possono essere impostati molto più facilmente e rapidamente.
- Di solito, gli strumenti basati su Internet hanno bisogno dell'impiego di meno personale.
Il rischio di essere scoperto che ogni singolo individuo direttamente coinvolto corre è probabilmente minore. - Il rischio a cui sono esposti i responsabili è probabilmente minore.
Nel rapporto GhostNet è presente un'osservazione che sembra ovvia ma è facile dimenticare di prenderla in considerazione: i paesi in via di sviluppo sono più esposti alle attività criminali simili a quelle trattate nel presente articolo rispetto a paesi che utilizzano i computer da più tempo. Uno dei motivi è il fatto che l'uso generalizzato dei computer e della tecnologia informatica è minore e di solito questo riduce l'attenzione posta sui problemi di sicurezza. In generale, il software legittimo è relativamente costoso e questo induce alla tentazione di utilizzare software pirata, che costituisce di per sé un rischio di sicurezza, spesso senza il supporto di aggiornamenti di sicurezza. Infine, gli investimenti in hardware, software e competenza nel settore della sicurezza, potrebbero sembrare troppo costosi per poterli considerare una priorità.
Questi elementi potrebbero indurre i criminali a concentrarsi su obiettivi nei paesi in via di sviluppo anziché su obiettivi più avanzati con esperienza informatica.
È difficile proteggersi da un attacco mirato come quello analizzato dagli autori del rapporto GhostNet. Di solito, il software utilizzato viene creato per un particolare attacco/intento e pertanto spesso non verrà rilevato da programmi antivirus e altri prodotti per la sicurezza. Le vulnerabilità del software, pubblicamente disponibili o perfino non pubblicate, potrebbero essere utilizzate per consentire al malware di entrare nel sistema preso di mira. È possibile impostare sofisticate tecniche di social engineering per indurre il personale dell'organizzazione presa di mira a installare il software.
Le tecniche di protezione da implementare sono menzionate più volte. Di seguito vengono elencate le più importanti:
- Assicurarsi che i sistemi operativi e le applicazioni vengano aggiornati con i patch di sicurezza più recenti nel modo più tempestivo possibile.
- Utilizzare software di sicurezza su tutti i sistemi dell'organizzazione. Un sistema non protetto potrebbe costituire il punto di accesso e quindi compromettere l'intera organizzazione.
- Educare gli utenti in modo che comprendano meglio le tecniche di social engineering e come proteggersi da simili attacchi.
Una conclusione possibile
Per concludere, di seguito viene citato il rapporto che ha dato origine a questo articolo. Gli autori si riferiscono al significato di GhostNet in tal modo:
(...) Ciò che il presente studio ha rilevato è una prova importante del fatto che la sicurezza delle informazioni è un argomento che richiede urgente attenzione ai livelli più alti. Dimostra che gli strati sotterranei del cyberspazio, di cui la maggior parte degli utenti è ignara, sono domini di esplorazione, sorveglianza e sfruttamento attivi. A prescindere da chi o da cosa sia in definitiva alla guida di GhostNet, ciò che più conta sono le sue capacità di sfruttamento e l'intelligenza strategica che da esso può scaturire. In realtà, anche se il tallone d'Achille del sistema GhostNet ci ha consentito di monitorare e documentare la sua rete di infiltrazione ad ampio raggio, possiamo ipotizzare con una certa sicurezza che non è il primo né l'unico sistema di questo tipo.
(Le frasi in grassetto sono state evidenziate dall'autore del presente articolo)
Ulteriori informazioni
Il rapporto GhostNet completo può essere letto e scaricato da diversi siti Web, anche all'indirizzo http://www.infowar-monitor.net/ghostnet (per lo scaricamento è necessario effettuare la registrazione).
Si tratta di un rapporto composto da più di 50 pagine scritte con un linguaggio non eccessivamente tecnico la cui lettura è vivamente consigliata a coloro che desiderano comprendere il funzionamento di una simile rete. Il rapporto fornisce inoltre informazioni importanti sulle tecniche di indagine che potrebbero essere utilizzate per rivelare la rete stessa e chi la gestisce, nonché sui problemi relativi al raggiungimento di conclusioni chiare e nette.