Analisi delle attività dei virus informatici e classifica malware

Analisi delle attività dei virus
informatici e classifica malware marzo 2012
A cura del «Global Research and Analysis Team» (GreAT)
di Kaspersky Lab
DUQU
I nostri esperti stanno conducendo da sei mesi approfondite indagini e ricerche in merito
all'evoluzione del famigerato Trojan Duqu. Nel mese di marzo 2012 è stato identificato il linguaggio
di programmazione utilizzato dai malintenzionati per sviluppare il codice relativo al framework di
cui si avvale il Trojan. Ciò si è reso possibile grazie al contributo della community internazionale dei
programmatori, dalla quale sono regolarmente giunte centinaia di supposizioni e ipotesi in materia.
La sezione di codice nocivo, denominata «Duqu Framework», è risultata costituita da un codice
sorgente “C” scritto con Microsoft Visual Studio 2008, dotato di opzioni speciali ("/O1" e "/Ob1")
utilizzate per ottimizzare la dimensione del codice e l’espansione inline. Gli sviluppatori del codice
nel processo di elaborazione del programma nocivo si sono avvalsi di un’estensione personalizzata
per combinare la programmazione orientata agli oggetti con C, generalmente indicata come «OO C»
(Object Oriented C). I nostri esperti ritengono che la specifica architettura di tipo «event-oriented»
sia stata sviluppata come parte del framework, o nel quadro dell'estensione OO C. Si suppone che il
codice responsabile delle interazioni con il Command & Control (C&C) server sia stato preso in
prestito da un altro progetto software, per poi essere adattato alle esigenze e funzionalità previste
nel progetto Duqu. Sulla base di tali elementi, riteniamo che l'elaborazione del codice maligno in
questione sia stata realizzata da veri e propri professionisti, un team di sviluppatori di grande
esperienza, della cosiddetta «vecchia scuola», i quali hanno voluto creare un framework
personalizzato per supportare una piattaforma altamente flessibile. Il codice può essere stato
recuperato da operazioni informatiche precedenti e, dopo un'adeguata personalizzazione,
riutilizzato per un'opportuna integrazione nel Trojan Duqu. L'approccio di elevata
«professionalità» che contraddistingue il modus operandi degli autori di Duqu si ritrova di solito
nell'esclusivo ambito dei progetti software altamente specializzati e quasi mai nei processi di
elaborazione dei programmi malware di oggi. Ciò testimonia in maniera inequivocabile il fatto che
Duqu, al pari di Stuxnet, rappresenta un «prodotto» davvero unico nel suo genere, che spicca in
maniera ben distinta nel vasto panorama dei software nocivi attualmente in circolazione.
Quando in un progetto vengono investiti così tanti mezzi e risorse, come è avvenuto nel caso
dell'elaborazione e dello sviluppo dei malware Duqu e Stuxnet, è ovvio che le azioni intraprese non
possano essere di colpo interrotte e messe definitivamente da parte. Nel mese di marzo, in effetti, è
stato individuato «in-the-wild» un nuovo driver, sostanzialmente analogo a quelli precedentemente
utilizzati nell'ambito del programma trojan Duqu. I driver già noti ai nostri esperti erano stati creati
il 3 novembre 2010 e il 17 ottobre 2011, mentre la data di creazione del nuovo driver sopra
menzionato è risultata essere il 23 febbraio 2012. Ciò significa, semplicemente, che dopo una pausa
di ben quattro mesi, gli autori di Duqu si sono di nuovo messi al «lavoro».
Le funzionalità presenti nel nuovo driver di Duqu coincidono con quelle rilevate nelle precedenti
versioni del malware. Le differenze esistenti a livello di codice non risultano significative, ma
testimoniano in maniera evidente l'effettuazione di un preciso lavoro di correzione degli errori
commessi dagli sviluppatori del Trojan, lavoro principalmente finalizzato a contrastare il
rilevamento del file nocivo da parte delle soluzioni antivirus. Il modulo principale di Duqu,
associato al driver, non è stato invece ancora individuato.
Maggiori informazioni e dettagli riguardo al trojan Duqu, unitamente ai dati statistici relativi alle
vittime colpite da tale malware ed alle sue varianti attualmente note sono disponibili all'interno del
nostro blog, all'indirizzo
http://www.securelist.com/ru/blog/207766975/Tayna_Duqu_chast_desyataya
La lotta contro la criminalità informatica
Lo smantellamento della seconda botnet Hlux/Kelihos
Gli esperti di Kaspersky Lab, in collaborazione con CrowdStrike Intelligence Team, Dell
SecureWorks e i membri di Honeynet Project, hanno smantellato la seconda botnet Hlux/Kelihos
(http://www.securelist.com/ru/blog/207763897/Novyy_botnet_Hlux_Kelihos_obezvrezhen_istori
ya_eshche_odnoy_uspeshnoy_operatsii). Gli analisti e i ricercatori avevano assegnato alla botnet la
denominazione di Kelihos.B, sottolineando come, per la creazione della stessa, i cybercriminali
avessero fatto ricorso ad una seconda versione modificata della bot originale.
Il 21 marzo è stata lanciata una vasta operazione di «sinkholing», realizzata attraverso
l'«intromissione» di un apposito sinkhole router nelle stesse «infrastrutture» della botnet
Hlux/Kelihos, rete-zombie di tipo peer-to-peer (P2P); in altre parole, è stata attivata la
propagazione sincronizzata di un indirizzo IP sinkhole all'interno del network peer-to-peer
malevolo. Lo scopo era quello di far sì che le macchine infette asservite alla botnet Hlux/Kelihos
iniziassero a comunicare con il router dedicato. In effetti, dopo una settimana dall'inizio di tale
operazione, con il dispositivo di sinkholing già interagivano oltre 116.000 bot. In tal modo, veniva
del tutto sottratto il controllo dei bot ai titolari della botnet in questione, grazie all'elevata
«popolarità» dalla sinkhole-machine all'interno del network P2P maligno Hlux/Kelihos. Ciò
permetteva a Kaspersky Lab di poter controllare un vasto numero di computer infetti, scongiurando
l'accesso dei bot-operator a questi ultimi. La rete-zombie è stata indebolita, proprio in ragione della
progressiva perdita di controllo sulle macchine infette da parte dei cybercriminali.
Generalmente, una volta iniziate le operazioni di intercettazione dei comandi di una botnet, i
botmaster che hanno sviluppato la rete-zombie posta sotto attacco cercano di riprendere il
controllo della propria creatura, rilasciando una nuova versione del programma bot utilizzato ed
avviando una nuova campagna per l'asservimento di nuovi computer-zombie al network nocivo da.
Nello scorso mese di settembre, dopo la neutralizzazione della prima botnet Hlux/Kelihos, si era
presentato uno scenario del genere; la stessa successione di avvenimenti si è prodotta anche nel
mese di marzo 2012.
Una nuova versione del bot — Kelihos.C — (la terza) è stata individuata ad alcuni giorni di distanza
dall'avvio dell'operazione di sinkholing. A quanto pare, i botmaster in questione erano già preparati
ad una possibile inibizione delle attività svolte dalla loro creatura e sono pertanto passati ad una
sorta di «Piano B». In Kelihos.C, così come in Kelihos.B, è stata rilevata una modifica delle chiavi
RSA, utilizzate per la codifica di alcune strutture di comunicazione
(http://www.securelist.com/ru/blog/40982/Vozvrashchenie_botneta_Kelihos_Hlux_s_novymi_tek
hnikami).
Proprio in relazione alla costante release da parte dei titolari delle botnet di nuove versioni,
numerosi ricercatori continuano a dichiararsi piuttosto scettici riguardo alla reale efficacia del
metodo “sinkhole” al fine di ottenere la neutralizzazione e lo smantellamento delle reti-zombie.
Nonostante questo, i nostri esperti sono tutti quanti inclini a pensare che l'esecuzione di operazioni
di sinkholing sia comunque in grado di complicare la vita ai proprietari delle botnet; in effetti,
questi ultimi dovranno produrre considerevoli sforzi per realizzare la diffusione di nuovi
programmi bot e la conseguente infezione di computer degli utenti della Rete. Inoltre, finché le
architetture e i protocolli impiegati nelle nuove versioni dei bot non risultano sottoposti a
modifiche, il gioco del “gatto col topo” può essere tranquillamente proseguito con ottime possibilità
di successo.
L'offensiva nei confronti di ZeuS e dei suoi «padroni»
A metà marzo Microsoft, in collaborazione con NACHA (The Electronic Payments Association) e FSISAC (Financial Services – Information Sharing and Analysis Center), organizzazione non-profit che
tutela gli interessi del mondo della finanza statunitense, ha condotto un'ulteriore offensiva nei
confronti di vari titolari e gestori di botnet, offensiva che è stata battezzata con il nome in codice
«Operation B71». Dopo aver ricevuto il via libera da parte delle autorità giudiziarie USA (nella
fattispecie dalla Corte Distrettuale di New York), Microsoft ha disattivato alcuni Centri di Comando
e Controllo delle botnet più attive ed estese in assoluto, create e sviluppate dai cybercriminali sulla
base del sofisticato trojan ZeuS.
La società di Redmond ha mirato all'individuazione dei criminali informatici responsabili
dell'elaborazione e della diffusione su scala globale del malware ZeuS e di ulteriori programmi
trojan con caratteristiche simili a quelle del famigerato ZeuS, quali SpyEye ed Ice-IX (quest'ultimo
creato sulla base di codice sorgente ZeuS «trafugato»).
Microsoft ha sporto denuncia nei confronti di 39 persone anonime, coinvolte nei processi di
elaborazione di codici nocivi e nella creazione di botnet basate su tali codici. Solo provvedimenti
drastici sono in grado di ridurre i danni provocati dalla diffusione e dall'utilizzo massiccio dei trojan
bancari da parte dei malfattori; secondo le stime raccolte da Microsoft, il danno finanziario
complessivo prodotto da ZeuS, SpyEye ed Ice-IX ammonterebbe all'iperbolica cifra di circa mezzo
miliardo di dollari.
Arrestati i malfattori che hanno fatto uso del trojan-banker «Carberp»
Le forze di polizia della Federazione Russa, in collaborazione con il gruppo di ricerca denominato
Group-IB, hanno completato una serie di indagini in merito alle attività criminali condotte da un
gruppo di persone coinvolte nel furto di cospicue somme di denaro, realizzato grazie all'uso del
noto trojan-banker denominato Carberp. Sulla base dei dati diffusi dall'ufficio stampa del
Dipartimento «К» (sezione speciale del Ministero degli Interni russo, dedita alla lotta nei confronti
del crimine informatico), è emerso che il gruppo era costituito da otto individui; vittime delle loro
azioni criminose sono risultati essere i clienti di decine di istituti bancari russi, per un danno
complessivo di circa 60 milioni di rubli illegalmente sottratti. Le indagini si sono concluse con
l'arresto dei malfattori.
In Russia le notifiche relative all'arresto di cybercriminali non sono frequenti; è ovvio come tale
notizia sia stata accolta con generale soddisfazione. Occorre tuttavia sottolineare come le indagini
condotte dalle forze dell'ordine si siano esclusivamente concentrate sulle attività svolte da un unico
gruppo di malintenzionati, il quale si è avvalso di codice nocivo già pronto per l'uso (quello relativo
al trojan bancario Carberp) ed ha fatto ricorso ai servizi specifici erogati da programmi di
“partenariato” (o programmi di “affiliazione”) dediti alla diffusione del malware. Nel comunicato
ufficiale emesso dalle autorità di polizia della Federazione Russa, si afferma che il gruppo di
persone sottoposte ad arresto risultava composto sia da botmaster, sia dai cosiddetti «muli»
preposti al riciclaggio del denaro (nella circostanza al ritiro presso gli sportelli bancomat delle
somme illecitamente sottratte). E' quindi evidente come l'autore del programma trojan sopra
menzionato e i titolari delle partnership rimangano tuttora in libertà. Tra l'altro, il trojan Carberp
continua ad essere venduto sottobanco all'interno di alcuni forum specializzati
(http://www.securelist.com/ru/blog/207763881/Carberp_eto_eshche_ne_konets). Ciò significa
che il malware continua ad essere utilizzato da altri gruppi di cybercriminali. In particolar modo,
stiamo monitorando le attività condotte nell'ambito di varie botnet basate proprio sulle
funzionalità di cui è provvisto il trojan-banker Carberp. Non è stato ancora appurato se tali retizombie appartengano ad un solo gruppo o a più gruppi di malintenzionati.
Gli attacchi nei confronti dei singoli utenti
Il bot «incorporeo»
Verso la metà del mese gli esperti di Kaspersky Lab hanno individuato un attacco unico, nel corso
del quale i cybercriminali hanno fatto ricorso ad un programma malware in grado di funzionare
senza dover provvedere alla creazione di file all'interno del sistema sottoposto ad infezione
informatica.
Per la diffusione del codice nocivo è stata sfruttata una rete teaser, comprendente una serie di siti di
news russi particolarmente popolari nel web. Assieme ad uno dei teaser, nello script JS del sito
veniva caricato un iframe in grado di reindirizzare l'utente verso un sito nocivo contenente un
exploit Java, situato nella zona di dominio .EU.
A differenza di quanto avviene nei tradizionali attacchi di tipo “drive-by”, il programmma maligno
in questione non veniva caricato sull'hard disk del computer sottoposto ad attacco, ma espletava le
proprie funzionalità esclusivamente nell'ambito della memoria operativa del computer-vittima.
Agendo né più né meno come un bot, il malware provvedeva ad inviare al server allestito dai
malintenzionati le query effettuate dall'utente, così come i dati relativi alla cronologia dei siti
visitati da quest'ultimo tramite il proprio browser. Se all'interno dei dati trasmessi venivano
individuate informazioni relative all'utilizzo di sistemi di banking online, sul computer infettato
veniva installato il trojan Lurk, preposto al furto delle informazioni confidenziali utilizzate dagli
utenti per accedere ai sistemi di remote banking allestiti da tutta una serie di istituti bancari russi.
L'attacco informatico in questione ha preso di mira gli utenti russi della Rete. Non escludiamo
tuttavia che l'exploit sopra citato e questo stesso bot «incorporeo» possano essere usati dai
malintenzionati anche nei confronti degli utenti del banking online ubicati in altri paesi; in effetti, i
due malware sopra menzionati possono essere diffusi per mezzo di analoghe reti di banner o reti
teaser attive in altre zone del pianeta.
Per la prima volta ci siamo imbattuti in una rara tipologia di malware, ovverosia in una sorta di
programma nocivo «immateriale». Si tratta di software nocivi che di fatto non esistono sotto la
consueta forma di file su disco, ma funzionano esclusivamente nell'ambito della memoria operativa
del computer sottoposto ad attacco ed infettato. Tali circostanze complicano in maniera
considerevole il processo di rilevamento di simili malware attraverso l'azione espletata dai
programmi antivirus.
Nonostante il fatto che tali programmi «incorporei» siano in grado di poter operare soltanto fino al
successivo riavvio del sistema operativo, rimane piuttosto elevata la probabilità che il medesimo
utente-vittima possa nuovamente accedere al sito infetto.
Gli esperti di Kaspersky Lab avvertono costantemente gli utenti di come una tempestiva
installazione degli aggiornamenti resi disponibili dalle software house possa di fatto costituire
l'unico metodo sicuro e affidabile per proteggersi adeguatamente dai programmi nocivi. Nella
fattispecie, per l'eliminazione della vulnerabilità CVE-2011-3544, individuata in Java, si
raccomanda di procedere quanto prima all'installazione della patch rilasciata da Oracle, il cui
download può essere eseguito attraverso il seguente link:
www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.
Ancora un furto di certificati digitali
Ormai, sempre più spesso ci imbattiamo in programmi malware provvisti di firma digitale. Alla
metà di marzo sono stati nuovamente individuati
(http://www.securelist.com/ru/blog/207763862/Mediyes_dropper_s_validnoy_podpisyu)
software nocivi firmati con certificati digitali del tutto validi e legittimi; si è trattato, nella
circostanza, dei trojan denominati Mediyes. E' stata rilevata una vera e propria moltitudine di file
dropper firmati in tempi diversi, dal mese di dicembre 2011 per finire al 7 marzo 2012. In tutti i
casi individuati è stato osservato l'utilizzo illecito di un certificato emesso dalla società svizzera
“Conpavi AG”. Si tratta di una compagnia che abitualmente collabora con vari organi governativi e
amministrativi della Confederazione Elvetica, quali Comuni, Cantoni, etc.
Probabilmente, i malintenzionati sono riusciti nell'intento di infettare un computer (o più
computer) appartenente alla società svizzera e quindi sottrarre illegalmente un determinato
certificato digitale, che è stato successivamente utilizzato per firmare i file dannosi. (Di tale
specifica funzionalità è provvisto il noto spyware ZeuS, che effettua una dettagliata ricerca dei
certificati digitali presenti nel computer contagiato e, nel caso in cui riesca a reperirne alcuni,
procede all'immediata trasmissione degli stessi ai malintenzionati di turno). Il fatto che
nell'incidente virale siano stati coinvolti enti governativi e amministrativi non sembra promettere
nulla di buono. Non sappiamo a quali dati sensibili connessi ad esempio alle attività governative
territoriali di municipalità e cantoni svizzeri abbiano potuto accedere i malintenzionati.
Il trojan Mediyes custodisce nella cartella di sistema adibita a contenere i driver il proprio driver, la
cui funzione è quella di «iniettare» una libreria nociva all'interno del browser. Ne consegue che, nel
caso in cui l'utente effettui query nell'ambito dei motori di ricerca Google, Yahoo e Bing, questi
ultimi provvederanno a indirizzare il browser verso il server allestito dai cybercriminali, che
fornirà in risposta un elenco di link direttamente relazionati al noto programma di partenariato
Search123. Attraverso tali link la libreria emulerà di nascosto i click dell'utente, generando profitti
illeciti.
Estensioni nocive per il browser Chrome
All'inizio del mese di marzo 2012 gli esperti di Kaspersky Lab hanno individuato un'ulteriore
estensione nociva per il browser Google Chrome. L'attacco informatico rilevato dai nostri esperti
(http://www.securelist.com/en/blog/208193414/Think_twice_before_installing_Chrome_extensio
ns) era rivolto nei confronti degli utenti del social network Facebook residenti in Brasile. Di fatto,
però, non vi era nulla che potesse impedire agli stessi cybercriminali di portare attacchi dello stesso
genere anche verso utenti Internet ubicati in altri paesi.
All'interno del più esteso social network della Rete erano stati diffusi link sotto forma di
suggerimenti per scaricare applicazioni (apparentemente utili) dedicate a Facebook, del tipo:
«Modifica il colore di sfondo della tua pagina», oppure «Scopri chi visita la tua pagina» e ancora
«Scopri come rimuovere un virus dalla tua pagina Facebook». Nel caso in cui l'utente avesse
proceduto all'installazione dell'applicazione, sarebbe stato indirizzato verso il sito Chrome Web
Store, dove lo avrebbe atteso, sotto forma di lettore «Adobe Flash Player» fasullo, un'estensione
specificamente «dedicata» al browser Google Chrome.
Per l'utente medio della Rete possono risultare di non immediata comprensione tutti i dettagli e le
sfumature che accompagnano la pubblicazione delle applicazioni nel marketplace online di Google
Chrome. L'utente visualizza semplicemente sul proprio schermo un sito ufficiale allestito dalla
società Google e non immagina quindi che da esso possa essere scaricato un programma nocivo. Il
problema risiede nel fatto che tutti hanno l’ opportunità di pubblicare estensioni per Google
Chrome all'interno del sito web: per far ciò è difatti sufficiente disporre di un semplice account
Google. Possedendo tale account e recandosi nell'apposita sezione del Chrome Web Store, è
possibile eseguire all'interno del marketplace online di Google l'upload dell'applicazione elaborata
e sviluppata con le proprie mani.
Una volta effettuata l'installazione dell'estensione maligna sul computer dell'utente, i
malintenzionati avrebbero ottenuto il pieno controllo sull'account Facebook della «vittima». Le
dinamiche dell'incidente virale sopra descritto prevedevano difatti che, dopo l'installazione sul
computer infettato, l'estensione dannosa provvedesse a scaricare un determinato script nocivo dal
centro di comando predisposto dai cybercriminali. Così, quando l'utente si fosse recato sulla
propria pagina Facebook, il suddetto script si sarebbe automaticamente inserito all'interno del
codice html della pagina web.
In particolar modo, la funzione dei suddetti script nocivi consisteva nel realizzare un vero e proprio
accumulo di «Mi piace» sulle pagine di interesse dei malintenzionati, così come nella pubblicazione
automatica di messaggi sulle bacheche Facebook degli utenti-vittima. Tra i messaggi falsi
individuati, spicca quel particolare messaggio, «pubblicato» a nome dell'utente-vittima stesso, in cui
si consigliava agli amici del social network proprio l'installazione dell'estensione in questione.
Google ha provveduto ad eliminare in tempi rapidi l'applicazione nociva, subito dopo aver ricevuto
notifica della sua presenza all'interno del Chrome Web Store. I malintenzionati hanno nel frattempo
provveduto a creare nuove simili estensioni e a collocare le stesse nel marketplace online di
Chrome.
L'exploit RDP per la vulnerabilità MS12-020
Nel mese di marzo Microsoft ha rilasciato un'ulteriore patch di sicurezza, destinata a chiudere una
vulnerabilità individuata nel servizio «Microsoft Terminal Services», noto con il nome di «Remote
Desktop». Tale vulnerabilità si è rivelata estremamente critica ed è stata ricondotta a quella serie di
vulnerabilità legate all'utilizzo della memoria; MS12-020 riguardava il modo di elaborazione dei
pacchetti nella memoria da parte del protocollo RDP. La vulnerabilità in questione risultava
presente nel codice eseguito con i diritti del sistema locale.
Essa è stata scoperta dal ricercatore italiano Luigi Auriemma che ha creato un pacchetto di rete in
grado di mettere fuori combattimento (Denial of Service) il servizio Remote Desktop. Il ricercatore
ha poi provveduto a trasmettere informazioni dettagliate al dipartimento di sicurezza di Microsoft
competente in materia. Il percorso seguito da tali informazioni rimane un vero e proprio mistero;
ciò che è noto è soltanto il fatto che esse sono trapelate nella Rete globale e al posto in luogo delle
generiche e consuete formulazioni da parte della casa di Redmond i potenziali “attaccanti” hanno
potuto disporre di un concreto esempio di sfruttamento della vulnerabilità rilevata nel servizio
Remote Desktop di Microsoft.
Su Internet si sono così fatti vivi in molti, desiderosi di reperire quanto prima un exploit in grado di
sfruttare la vulnerabilità, anche se con intenti diametralmente opposti: alcuni hanno cercato di
individuare un exploit per poter condurre attacchi informatici, altri si sono invece mostrati
interessati alla questione soltanto dal punto di vista “tecnico”, ovverosia per confermare
semplicemente l'effettiva esistenza di un exploit per la vulnerabilità MS12-020 e lanciare così un
segnale di reale allarme all'intera comunità IT mondiale. Alcuni ricercatori ed analisti hanno
iniziato a prepararsi in vista del possibile dilagare di epidemie informatiche causate da nuovi worm
di rete in grado di sfruttare la vulnerabilità sopra descritta.
Gli sviluppatori di exploit, da parte loro, non si sono fatti troppo attendere: sono comparse le prime
versioni di codice nocivo volte ad offrire l'accesso non autorizzato in modalità remota, attraverso
Remote Desktop, ai computer provvisti di sistema operativo Windows.
Ad ogni modo, una delle prime versioni dell'exploit in questione comparse sulla scena del malware
si presentava, a tutti gli effetti, come una vera e propria presa in giro:
La paternità dell'exploit riportato nello screenshot è stata attribuita all'hacker Sabu, membro di
Lulzsec, recentemente accusato dai suoi stessi «colleghi» di aver trasmesso all' FBI informazioni
riservate riguardo ad altri rappresentanti del noto gruppo di hacktivisti, il cui successivo arresto
sarebbe stato realizzato proprio grazie a tale «soffiata».
Il codice nocivo risulta scritto in linguaggio Python e pare utilizzare il modulo <freerdp>, come
evidenzia il testo qui sopra riprodotto. Il fatto è che, in realtà, non esiste nessun modulo freerdp per
Python noto. E' pur vero che in Rete si può facilmente reperire un'implementazione open source del
protocollo Remote Desktop, nota come FreeRDP (http://www.freerdp.com/); tuttavia, gli stessi
sviluppatori non dispongono di informazioni riguardo alla realizzazione di uno specifico supporto
freerdp sulla piattaforma Python.
L'«exploit» sopra descritto si è quindi rivelato essere solo una burla.
E' addirittura comparso in Rete un sito web specializzato in materia, il cui nome è di per se un
programma: http://http://istherdpexploitoutyet.com (traduzione: “è già apparso l'exploit RDP?”).
Per quel che ci riguarda, non abbiamo ancora individuato un exploit in grado di consentire
l'esecuzione di codice nocivo in modalità remota attraverso il servizio Remote Desktop. La maggior
parte delle elaborazioni che si sono manifestate sulla scena non sortivano alcun effetto concreto,
oppure conducevano ad un vero e proprio denial of service, producendo il famigerato BSOD (Blue
Screen of Death), la schermata blu mostrata dai computer provvisti di sistema operativo Windows
quando si verifica un errore di sistema critico.
Cogliamo l'occasione per raccomandare a tutti coloro che si avvalgono dell'OS Microsoft Windows
di verificare se sui loro sistemi operativi viene utilizzato o meno il servizio Remote Desktop.
Qualora il protocollo RDP risultasse effettivamente abilitato, occorrerà allora installare il più
rapidamente possibile l'apposita patch rilasciata da Microsoft, nonché riflettere sul fatto se il
servizio sopra menzionato risulti davvero indispensabile nel sistema operativo impiegato.
Ovviamente, sarà nostra cura comunicare l'eventuale comparsa di un exploit in grado di poter
sfruttare la vulnerabilità MS12-020 e quindi capace di realizzare l'esecuzione di codice nocivo da
remoto; per il momento è possibile verificare sul sito web http://rdpcheck.com se il server Internet
risulta vulnerabile ad un potenziale attacco RDP.
Le minacce per MAC
Nel mese di marzo 2012 è stata osservata un'attività senza precedenti dei programmi malware
creati dai virus writer per colpire la piattaforma MAC OS.
Probabilmente, l'avvenimento più eclatante è legato ad una campagna di spam indirizzata verso gli
account e-mail di organizzazioni non governative correlate al Tibet, campagna individuata dalla
società statunitense AlienVault Labs (http://labs.alienvault.com/labs/index.php/2012/alienvaultresearch-used-as-lure-in-targeted-attacks/); nel corso di tale mailing di massa sono stati diffusi, nelle
e-mail box prese di mira, link preposti a condurre gli utenti verso un exploit JAVA, denominato
Exploit.Java.CVE-2011-3544.ms. Si tratta di un particolare exploit in grado di installare sui
computer-vittima vari tipi di programmi malware, a seconda del sistema operativo di cui l'utente si
avvale. Nella circostanza, sui computer degli utenti MAC OS veniva installato il malware
Backdoor.OSX.Lasyr.a, mentre sui computer degli utenti Windows veniva iniettato il software
malevolo Trojan.Win32.Inject.djgs (tale trojan è poi risultato essere provvisto di firma, tramite un
certificato digitale scaduto emesso dalla società cinese «WoSign Code Signing Authority»).
Sottolineiamo come, per la conduzione dei loro attacchi, i malintenzionati si siano avvalsi degli
stessi server per comandare e controllare l'attività di entrambi i programmi nocivi.
Tale attacco non ha costituito l'unico esempio di utilizzo di programmi malware da parte di
cybercriminali cinesi nel corso di attacchi diretti ad organizzazioni tibetane. Solo una settimana più
tardi, in seno ad una campagna di spam analoga, è stato individuato uno specifico file DOC
(http://labs.alienvault.com/labs/index.php/2012/ms-office-exploit-that-targets-macos-x-seen-in-thewild-delivers-mac-control-rat/), classificato da Kaspersky Lab come Exploit.MSWord.CVE-20090563.a. Tale exploit era preposto ad infettare i computer degli utenti MAC OS X tramite il
programma Backdoor.OSX.MaControl.a. E' significativo rilevare come il software sopra citato
ricevesse gli abituali comandi, da distribuire sui computer infettati, dal server
<freetibet2012.xicp.net>, situato entro i confini del territorio cinese.
Nel corso del mese analizzato è stata individuata una nuova variante del malware
Backdoor.OSX.Imuler, del quale avevamo già riferito nell'analogo report del mese di settembre
2011
(http://www.securelist.com/ru/analysis/208050719/Obzor_virusnoy_aktivnosti_sentyabr_2011. I
software dannosi riconducibili a tale famiglia di malware vengono diffusi in Rete sotto forma di file
provvisti di estensioni innocue. Nell'ambito dell'attacco informatico condotto durante il mese di
marzo 2012, i malintenzionati hanno inviato ai destinatari dei messaggi e-mail di spam delle foto
erotiche con estensione .JPG, le quali celavano file maligni eseguibili, sapientemente mascherati.
Il mese di marzo è stato caratterizzato da un ulteriore significativo elemento di novità: i programmi
maligni appartenenti alla famiglia Trojan-Downloader.OSX.Flashfake hanno difatti iniziato ad
utilizzare (http://www.intego.com/mac-security-blog/flashback-mac-malware-uses-twitter-ascommand-and-control-center/) Twitter in qualità di server di comando e controllo. Per realizzare
la diffusione dei suddetti software malevoli i malintenzionati si sono avvalsi di ben 200.000 blog
violati (http://community.websense.com/blogs/securitylabs/archive/2012/03/05/massinjection-of-wordpress-sites.aspx), ospitati da WordPress.
Le minacce per i dispositivi mobili
Il Trojan bancario per la piattaforma Android
Circa un anno e mezzo fa veniva individuata la versione mobile del noto programma trojan ZeuS,
soprannominata ZitMo (ZeuS-in-the-Mobile). L'obiettivo principale del trojan era rappresentato dal
furto dei codici segreti utilizzati per l'autenticazione delle transazioni mobili (mTAN), codici
trasmessi dalla banca sul telefono del cliente per mezzo di appositi messaggi SMS. Come è noto, da
allora, lo specifico segmento popolato da simili minacce mobile si è rivelato in costante aumento;
tuttavia, fino a marzo 2012, non era stato ancora rilevato nessun ulteriore programma nocivo
appositamente sviluppato per dispositivi mobile in grado di effettuare direttamente il furto dei dati
(login e password) utilizzati per l'identificazione dell'utente nell'ambito dei sistemi di banking
online.
A metà marzo, invece, è stato individuato un programma malware preposto all'intercettazione e al
furto non solo degli SMS contenenti i codici mTAN, ma anche dei dati necessari per i processi di
autenticazione del banking online. Tale software nocivo è stato codificato dagli esperti di Kaspersky
Lab con la denominazione di Trojan-SMS.AndroidOS.Stealer.a.
L'utente-vittima che avvia l'applicazione nociva visualizza una finestra apparentemente destinata
alla generazione di token di sicurezza. Per ottenere tale «generazione», viene richiesto all'utente di
inserire la propria chiave, necessaria per ricevere l'autorizzazione iniziale nel sistema di banking
online. Una volta compiuta tale operazione, il malware provvede a generare un token fasullo (si
tratta di un numero casuale vero e proprio), mentre i dati introdotti vengono dirottati sul numero
di telefono e sul server remoto predisposti dai malintenzionati, assieme ai codici IMEI
(International Mobile Equipment Identification) e IMSI (International Mobile Subscriber
Identification). Oltre a ciò, il programma malware è in grado di ricevere determinati comandi da un
server remoto (riguardanti principalmente il furto dei codici segreti mTAN).
E' inutile dire che ci attendevamo, prima o poi, la comparsa di un simile software nocivo nel
panorama del malware mobile; alcuni suoi tratti caratteristici hanno attirato in particolar modo le
attenzioni dei nostri esperti. Ad esempio, tutti i sample del trojan mobile che siamo riusciti ad
ottenere, sono risultati mirati verso gli utenti di istituti bancari spagnoli. E' piuttosto singolare
osservare come uno dei server remoti che gestisce tale malware sia risultato collocato nella zona di
dominio .ru.; al momento attuale il nome di dominio non è attivo. Inoltre, il numero di telefono al
quale venivano inoltrati i dati sensibili illegalmente carpiti agli utenti è risultato essere russo e
apparteneva ad uno degli operatori telefonici regionali. Sulla base di tali elementi è lecito
presupporre che alla creazione del programma abbiano partecipato virus writer di lingua russa.
Gli attacchi nei confronti delle reti informatiche e dei siti web di grandi
società, enti e organizzazioni
Spionaggio «spaziale»
Durante il mese di marzo sono stati resi noti alcuni attacchi hacker nei confronti di enti e agenzie
che si occupano di programmi, ricerche ed esplorazioni spaziali.
Sottolineiamo la particolare rilevanza e l'elevato interesse suscitato dal report relativo agli
incidenti virali prodottisi in ambiente NASA. La relazione è stata presentata dall'Ispettore Generale
dell'agenzia aerospaziale americana in occasione di una audizione di fronte al Comitato di Scienza,
Astronautica e Tecnologia operante presso il Congresso degli Stati Uniti.
http://science.house.gov/hearing/subcommittee-investigations-and-oversight-hearing-nasacybersecurity-examination-agency%E2%80%99s
Nel corso di tale audizione, svoltasi presso gli headquarter della NASA, è stato riferito in merito ad un
attacco informatico riconducibile al mese di novembre 2011, nel corso del quale gli «attaccanti» (con
indirizzi IP provenienti dalla Cina) hanno ottenuto un accesso alla rete del Jet Propulsion Laboratory
(JPL). E' inoltre risultato che, nel corso del 2011, sono stati condotti nei confronti della NASA 47
attacchi mirati, dei quali soltanto 13 hanno avuto esito positivo per i cybercriminali. Nel periodo
2010-2011 il numero totale di incidenti informatici connessi all'accesso non autorizzato ai sistemi
dell'agenzia aerospaziale statunitense, o che hanno portato all'installazione di software dannosi, è
ammontato ad oltre 5.400 casi.
In aggiunta agli attacchi hacker, la NASA ha patito, con una certa regolarità, numerose perdite di
computer portatili contenenti informazioni confidenziali. Dall'anno 2009 in poi ne sono stati
“smarriti” quasi una cinquantina, incluso l'ultimo incidente verificatosi nel mese di marzo, che ha
fatto registrare la perdita di un notebook contenente informazioni relative agli algoritmi utilizzati
nell'ambito delle operazioni di controllo e gestione della ISS, la celebre Stazione Spaziale
Internazionale.
L'Agenzia Aerospaziale Giapponese (JAXA), da parte sua, ha pubblicato i risultati di un'indagine
condotta in merito ad un incidente virale prodottosi nell'estate del 2011, il quale è stato individuato
soltanto nel mese di gennaio 2012. http://www.jaxa.jp/press/2012/03/20120327_security_e.html
Nel mese di luglio 2011 uno dei collaboratori della JAXA ha ricevuto un'e-mail contenente un file
nocivo. Il software anti-virus installato nel computer del dipendente non era stato aggiornato e
quindi, una volta aperta l'e-mail, si è prodotta l'infezione nel sistema. Gli hacker hanno ottenuto
l'accesso a tutte le informazioni custodite nel computer infettato e sono stati potenzialmente in
grado di monitorare a distanza i dati che sarebbero apparsi sullo schermo del computer sottoposto
a contagio da virus informatico. Fortunatamente, secondo quanto dichiarato dall'Agenzia
Aerospaziale Giapponese, nel computer non risultavano presenti informazioni di natura sensibile o
segreta. Nonostante il computer in questione avesse accesso alle operazioni di monitoraggio del
veicolo spaziale cargo denominato H-II Transfer Vehicle (HTV), preposto al rifornimento della
International Space Station (ISS), gli «attaccanti» non hanno ottenuto accesso non autorizzato a
quest'ultimo.
Ulteriori analisi hanno rivelato che i malintenzionati non hanno fatto uso dei dati di autorizzazione,
carpiti illegalmente nel computer del dipendente, al fine di accedere ad altri sistemi gestiti dalle
agenzie JAXA e NASA. E' stata considerata come non particolarmente significativa la perdita di un
database contenente all'incirca 1.000 indirizzi di posta elettronica facenti capo all'ente aerospaziale
giapponese.
Marzo in cifre
Nel corso del mese, nei computer degli utenti dei prodotti Kaspersky Lab:
•
•
•
sono stati individuati e neutralizzati oltre 370 milioni di programmi malware;
di questi, 200 milioni (55%) sono riconducibili a tentativi di infezione via Internet;
sono stati individuati oltre 42 milioni di URL nocivi.
Le minacce in Internet: marzo 2012
I dati statistici di seguito indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo
Anti-Virus Web e sono stati acquisiti tramite gli utenti dei prodotti Kaspersky Lab che hanno fornito il
consenso per effettuare la trasmissione di dati statistici ai nostri analisti.
Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle
soluzioni anti-virus di Kaspersky Lab risulta relativamente contenuto (meno di 10.000 utenti).
Mappa dei paesi nei quali gli utenti sono risultati maggiormente sottoposti al
rischio di infezioni durante la navigazione in Internet
TOP 10 dei paesi nei quali gli utenti sono risultati maggiormente esposti al
rischio di infezioni mediante Internet
№
Paese
%*
1
Federazione
Russa
55,5
%
2
Armenia
49,3
%
3
Kazakhstan
47,8
%
Variazione
in classifica
0
+1
+1
4
Bielorussia
47,1
%
5
Azerbaijan
46,3
%
6
Ukraina
43,3
%
+1
+1
+1
7
Sudan
41,0
%
Novità
8
Uzbekistan
40,3
%
9
Costa
d'Avorio
39,9
%
-7
10
Bangladesh
39,4
%
* Quote percentuali relative al numero di utenti unici sui computer dei quali, nel periodo analizzato
nel report, sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al
numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.
TOP 10 dei paesi i cui utenti sono sottoposti al minor rischio di infezioni
informatiche via Web
№
Paese
1
Taiwan
%*
Variazione
in classifica
10,1%
-
2
Benin
12,6%
3
Giappone
12,9%
+1
-1
4
6
Hong Kong (regione
amministrativa speciale
della Repubblica Popolare
Cinese)
Macao (regione
amministrativa speciale
della Repubblica Popolare
Cinese)
Burkina Faso
7
Myanmar
5
12,9%
+2
13,6%
+2
14%
Novità
14,8%
Novità
8
Nuova Zelanda
9
Porto Rico
15%
+1
15,3%
Novità
10
Danimarca
15,5%
-2
* Quote percentuali relative al numero di utenti unici sui computer dei quali, nel periodo analizzato,
sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al numero
complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.
TOP 10 delle zone di dominio nelle quali sono localizzati i programmi
malware
Ripartizione per zone di dominio delle fonti degli attacchi via web*
* Quote percentuali relative al numero di attacchi unici provenienti da risorse Internet localizzate in
una determinata zona di dominio, rispetto al numero complessivo di attacchi rilevati dal componente
Anti-Virus Web, provenienti dall'insieme delle zone di dominio esistenti.
TOP 10 dei paesi nelle cui risorse web sono stati ospitati programmi dannosi
(World distribution of infected sites and malware hostings)
Ripartizione per paesi delle fonti degli attacchi via web*
* Per determinare l'origine geografica dell'attacco informatico è stato applicato il metodo che
prevede la comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta
effettivamente collocato; si è fatto ricorso all'accertamento della collocazione geografica di tale
indirizzo IP (GEOIP).
TOP 10 dei malware in Internet
№
Denominazione del malware
rilevato dall'Anti-Virus Web
1
Malicious URL
% sul numero
complessivo
di attacchi*
85,71%
Variazione in classifica
0
2
Trojan.Script.Iframer
4,03%
3
Trojan.Script.Generic
2,74%
0
+1
4
Trojan.Win32.Generic
0,30%
5
Trojan-Downloader.Script.Generic
0,28%
+1
-1
6
Trojan-Downloader.JS.JScript.ag
0,26%
7
Trojan-Downloader.JS.JScript.ai
0,19%
Novità
Novità
8
Trojan.JS.Popupper.aw
0,18%
+2
9
Trojan.JS.Iframe.zy
0,15%
Novità
10
Trojan-Downloader.JS.JScript.ax
0,14%
Novità
* Quote percentuali relative al numero di incidenti virali unici rilevati dal modulo Anti-Virus Web sui
computer degli utenti.
Ripartizione degli exploit rilevati dal modulo Anti-Virus Web sui computer degli utenti, in base alle
varie applicazioni risultate sottoposte ad attacco*
* Quote percentuali relative al numero complessivo di attacchi web respinti, provenienti da
exploit