docScarica il report completo cliccando qui
download 
Reclamo Transcript
Scarica il report completo cliccando qui
Evoluzione delle minacce informatiche nel primo trimestre del 2013 Denis Maslennikov Sommario Il trimestre in cifre ..................................................................................................................................... 2 Il quadro della situazione ........................................................................................................................... 2 Cyber‐spionaggio e cyber‐armamenti .................................................................................................... 2 Gli attacchi mirati .................................................................................................................................. 6 Il malware mobile .................................................................................................................................. 7 Revoca di certificati digitali emessi da TurkTrust ................................................................................. 11 Le statistiche ............................................................................................................................................ 11 Le minacce in Internet ......................................................................................................................... 11 Minacce informatiche locali ................................................................................................................. 17 Vulnerabilità ............................................................................................................................................ 21 Il trimestre in cifre • • • • Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del primo trimestre del 2013 le soluzioni anti‐malware di Kaspersky Lab hanno rilevato e neutralizzato 1.345.570.352 oggetti nocivi. Sono state da noi complessivamente individuate 22.750 nuove varianti di programmi malware specificamente creati dai virus writer per infettare i dispositivi mobile; si tratta, in sostanza, di oltre la metà del numero complessivo di varianti rilevate lungo tutto l’arco del 2012. Il 40% degli exploit individuati e respinti durante il trimestre esaminato nel presente report ha sfruttato vulnerabilità insite nei prodotti Adobe. Circa il 60% del numero totale di hosting nocivi è risultato ubicato sul territorio di tre soli paesi: Stati Uniti, Federazione Russa e Paesi Bassi. Il quadro della situazione Il primo trimestre dell’anno in corso si è mostrato davvero ricco di episodi legati alle attività del malware via via dispiegato dai cybercriminali. Nella sfera della sicurezza IT sono stati di fatto registrati numerosi incidenti virali di primaria importanza; condurremo, nella prima parte del nostro consueto report trimestrale dedicato all’evoluzione delle minacce informatiche, una dettagliata analisi dei più significativi e rilevanti tra di essi. Cyberspionaggio e cyberarmamenti Red October All'inizio del 2013, Kaspersky Lab ha pubblicato un dettagliato rapporto, di notevoli dimensioni, contenente i risultati della ricerca condotta dai propri esperti di sicurezza IT riguardo all’operazione Red October (Ottobre Rosso), un’avanzata campagna di spionaggio informatico lanciata su scala globale. I principali target dell’esteso attacco in questione sono risultati essere gli enti governativi e le agenzie diplomatiche di diversi paesi del globo, oltre ad istituti di ricerca, società operanti nel settore dell’energia e del nucleare, obiettivi commerciali ed aerospaziali. Per analizzare i file nocivi e ricostruire l’intero schema utilizzato dai malintenzionati per portare l’esteso attacco informatico si sono resi necessari alcuni mesi di intenso lavoro; le accurate e laboriose indagini condotte, tuttavia, hanno permesso di portare alla luce una quantità considerevole di fattori ed elementi di notevole interesse e particolare curiosità. Gli aggressori hanno attivamente operato, talvolta in maniera febbrile, lungo tutto l’arco degli ultimi cinque anni. La piattaforma di attacco multifunzionale da essi utilizzata permette di dispiegare agevolmente nuovi avanzati moduli per la raccolta delle informazioni sensibili; si tratta di una piattaforma estremamente flessibile, che comprende diverse estensioni e file nocivi progettati per adattarsi rapidamente alle configurazioni dei vari sistemi informatici presi di mira. Per controllare e gestire al meglio i sistemi infettati, gli aggressori hanno creato oltre 60 nomi di dominio e si sono avvalsi di vari server ospitati nell'ambito di servizi di hosting ubicati in vari paesi, per la maggior parte in Germania e Russia. Le analisi condotte da Kaspersky Lab sulle infrastrutture di comando e controllo utilizzate dagli aggressori hanno inoltre evidenziato la presenza di una vasta catena di server proxy, di cui i malintenzionati si sono avvalsi allo scopo di nascondere la reale posizione del server di controllo del sistema “madre”. Oltre ai tradizionali obiettivi degli attacchi informatici, ovvero le workstation, Red October è in grado di colpire numerosi altri componenti ed elementi dell’infrastruttura informatica di cui è generalmente dotata un’organizzazione o una società. In effetti, il potente attack‐toolkit qui esaminato ha, allo stesso tempo, la capacità di realizzare piuttosto agevolmente il furto dei dati sensibili custoditi nei dispositivi mobile, di carpire informazioni direttamente dalle apparecchiature di rete, di eseguire la raccolta di file memorizzati sui dischi USB. Inoltre, Red October è in grado di compiere il furto di database di posta elettronica dalla cartella locale di Outlook, oppure da un server POP/IMAP remoto, così come di estrarre file di vario tipo dai server FTP locali presenti in rete. MiniDuke Nello scorso mese di febbraio, la società FireEye ha pubblicato in Rete, all’interno del proprio blog, una dettagliata analisi riguardo alla comparsa di un nuovo insidioso programma malware, in grado di penetrare nel sistema informatico preso di mira tramite l’utilizzo di una vulnerabilità 0‐day individuata in Adobe Reader (CVE‐2013‐0640). L’exploit appositamente creato dai virus writer per sfruttare tale vulnerabilità è di fatto divenuto il primo exploit in grado di bypassare l’azione protettiva svolta dalla «sandbox» di Acrobat Reader. L’exploit in questione genera sul computer‐vittima il download di una backdoor, destinata in particolar modo a trafugare informazioni e dati sensibili dal sistema sottoposto a contagio informatico. Dopo aver ricevuto dei sample del suddetto malware ed aver effettuato le analisi del caso, i nostri esperti hanno assegnato al nuovo programma nocivo l’appellativo di «ItaDuke». Dopo qualche tempo sono stati da noi rilevati ulteriori incidenti virali riconducibili alla tipologia sopra descritta, nell’ambito dei quali i malintenzionati erano ricorsi allo sfruttamento della medesima vulnerabilità 0‐day; nella circostanza, tuttavia, i malware utilizzati risultavano diversi da quelli impiegati in precedenza. Il software nocivo di cui si erano avvalsi i malintenzionati è stato in seguito battezzato con il nome di «MiniDuke». Le indagini sugli incidenti sopra menzionati sono state condotte in collaborazione con la società ungherese CrySys Lab. Sono risultati essere vittima di MiniDuke enti governativi in Ukraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda; sono stati inoltre attaccati un’importante fondazione di ricerca in Ungheria, un prestigioso istituto di ricerca, due think tank (si è trattato, nella fattispecie, di centri di ricerca scientifica) ed un istituto fornitore di assistenza sanitaria negli Stati Uniti. Complessivamente, sono state da noi individuate 59 vittime uniche di MiniDuke, ubicate in 23 diversi paesi del globo. Una delle caratteristiche più curiose ed interessanti degli attacchi informatici eseguiti attraverso il malware in causa è rappresentata dal fatto che MiniDuke è risultato essere il frutto di una particolare ed inedita combinazione tra un software nocivo di stampo “classico” ‐ il cui codice, compatto e notevolmente sofisticato, è stato in tutta evidenza sviluppato da virus writer appartenenti alla “vecchia scuola” ‐ e tecnologie piuttosto recenti ed avanzate, ma già ben affermate, volte allo sfruttamento di determinate vulnerabilità scoperte in Adobe Reader. Gli aggressori hanno provveduto ad inviare alle vittime predestinate dei documenti PDF nocivi, recanti insidiosi exploit specificamente elaborati dagli autori di malware per colpire le versioni 9, 10 e 11 di Adobe Reader. Tali documenti contenevano informazioni riguardanti un particolare seminario sui diritti umani (ASEM), dati e dettagli sulla politica estera condotta dall’Ukraina e piani di adesione alla NATO. In caso di esito positivo dell’azione dannosa svolta dall’exploit nel sistema informatico compromesso, sul computer‐vittima sarebbe stata recapitata una backdoor “unica”, personalizzata ad hoc per ogni sistema sottoposto ad attacco, scritta in linguaggio Assembler e dalle dimensioni estremamente contenute (solo 20Kb). E’ di particolare interesse rilevare come, nell’ambito degli assalti informatici condotti tramite l’attack‐ toolkit in questione, i malintenzionati abbiano utilizzato Twitter (all'insaputa degli utenti‐vittima): per ottenere gli indirizzi dei server di comando e controllo (C&C) e realizzare il successivo upload di ulteriori moduli nocivi, la backdoor iniziava difatti a cercare i tweet specifici di account già in uso, creati dagli stessi operatori dei server di comando di MiniDuke. Non appena il sistema informatico infetto stabiliva la connessione con il server di controllo, esso iniziava a ricevere appositi moduli codificati (backdoor), sotto forma di file GIF. Tali moduli dannosi erano provvisti di funzionalità piuttosto banali e ordinarie: copia, spostamento e rimozione di file, creazione di directory, download di ulteriori programmi nocivi. APT1 Sempre nel mese di febbraio dell’anno in corso, la società Mandiant ha pubblicato all’interno del proprio sito web un esteso rapporto in formato PDF riguardo agli attacchi informatici condotti da un certo gruppo di hacker cinesi, denominato APT1. L’acronimo APT (Advanced Persistent Threat), come si sa, è ben conosciuto nell’ambito della sicurezza IT. Talvolta, tuttavia, esso viene utilizzato in maniera impropria per indicare minacce o attacchi informatici che sono ben lungi dal risultare veramente di natura «avanzata» o «persistente». Nel caso degli attacchi eseguiti dal gruppo APT1, però, queste definizioni calzano a pennello, poiché la campagna di spionaggio lanciata dagli hacker cinesi ha davvero assunto proporzioni serie e rilevanti. Nella parte iniziale del suddetto report, Mandiant afferma che, presumibilmente, il termine APT1 indica proprio una specifica unità dell’esercito della Repubblica Popolare Cinese. La società in questione riporta persino il probabile indirizzo “fisico” dell’unità, e avanza precise supposizioni riguardo all’effettiva entità di quest’ultima, nonché sulle infrastrutture da essa utilizzate. Mandiant presume che il gruppo APT1 abbia iniziato la propria attività già a partire dal 2006 e che, nel breve volgere di 6 anni, sia riuscito a carpire terabyte di informazioni e dati relativi perlomeno a 141 diverse organizzazioni, ubicate ‐ nella maggior parte dei casi ‐ in paesi anglofoni. Attacchi informatici di simile portata, indubbiamente, non risultano possibili senza il supporto tangibile di centinaia di persone, e senza l’impiego di moderne infrastrutture, particolarmente avanzate e sviluppate. Non è la prima volta che, a vari livelli, vengono avanzate delle accuse nei confronti della Cina riguardo alla presunta conduzione di cyber‐attacchi rivolti ad enti governativi ed organizzazioni di vari paesi del globo. Allo stesso modo, non costituisce certamente motivo di particolare sorpresa il fatto che il governo cinese abbia respinto senza mezzi termini le supposizioni fatte nel caso specifico dalla società Mandiant. Sottolineiamo come, sino ad oggi, nessun paese si sia mai dichiarato responsabile dell’effettuazione di attacchi informatici condotti con chiari intenti spionistici, né abbia mai ammesso, nemmeno sotto la pressione dell’opinione pubblica internazionale, di aver condotto precise campagne di cyber‐spionaggio, nonostante l’esistenza di prove di particolare rilevanza. TeamSpy Nel mese di marzo 2013 sono state pubblicate dettagliate informazioni riguardo ad un ulteriore attacco informatico di particolare complessità, condotto all’interno di paesi facenti parte della Comunità degli Stati Indipendenti (CSI) e in varie nazioni dell’Europa Orientale, nel corso del quale sono stati presi di mira uomini politici di alto livello e noti attivisti impegnati nella difesa dei diritti umani. L’operazione è stata definita «TeamSpy», poiché, per ottenere il pieno controllo dei computer‐vittima, gli aggressori si sono avvalsi del programma TeamViewer, noto tool del tutto legittimo, normalmente preposto all’esecuzione di procedure di amministrazione da remoto. Nella circostanza, lo scopo principale degli “attaccanti” era rappresentato dalla raccolta di dati e informazioni sensibili presenti sui computer degli utenti sottoposti ad assalto informatico, ad iniziare dalla realizzazione di specifici screenshot, per concludere con accurate operazioni di copiatura dei file provvisti di estensione .pgp, incluso password e chiavi di crittografia. Sebbene l’attack‐toolkit utilizzato nell’ambito dell’operazione TeamSpy ‐ e, nel complesso, l’operazione stessa ‐ risultino molto meno sofisticati e “professionali” rispetto agli strumenti utilizzati per la conduzione della vasta e potente campagna di spionaggio Red October, esaminata in un precedente capitolo del presente report, gli attacchi informatici classificati con la denominazione di TeamSpy non sono affatto risultati infruttuosi per gli aggressori che li hanno orditi. Stuxnet 0.5 In genere, nell’ambito dell’industria antivirus non vengono analizzati così di frequente incidenti virali, legati alle attività del malware, per la cui soluzione si rendono necessari mesi e mesi di accurate e laboriose indagini da parte di interi team di esperti di sicurezza IT. Ancor più rari sono quegli eventi destinati a rimanere al centro dell’attenzione degli analisti per vari anni di seguito, così come è avvenuto in occasione della scoperta del famigerato worm Stuxnet, ormai da quasi tre anni oggetto di approfondite ricerche. Nonostante il suddetto malware sia già stato ampiamente esaminato da numerose società produttrici di soluzioni antivirus, permane tuttora un consistente numero di moduli nocivi ad esso riconducibili che non sono stati ancora sufficientemente “studiati”, oppure non sono stati fatti in alcun modo oggetto di analisi da parte degli esperti del settore. Non bisogna poi dimenticare che sono state individuate varie versioni del worm Stuxnet; come è noto, la più datata di esse risale addirittura all’anno 2009. In passato, gli esperti hanno comunque a più riprese ipotizzato l’esistenza di versioni addirittura precedenti del malware in causa (o che nel torbido panorama del malware le stesse fossero tranquillamente in circolazione); fino a poco tempo fa, tuttavia, nessuno è stato mai in grado di raccogliere, di fatto, prove definitive ed inequivocabili a tale riguardo. Le ipotesi avanzate in precedenza dagli esperti hanno di recente trovato una precisa conferma. Verso la fine dello scorso mese di febbraio, Symantec ha difatti pubblicato sul proprio blog ufficiale i risultati di una ricerca condotta riguardo ad una nuova «vecchia» versione del suddetto worm: Stuxnet 0.5. Tale versione, attivamente utilizzata tra il 2007 e il 2009 per la conduzione di attacchi informatici, è risultata essere la più datata tra tutte le varianti di Stuxnet complessivamente individuate dagli esperti di sicurezza IT. Si tratta di una singolare versione del worm in causa, che si contraddistingue per certe caratteristiche particolarmente curiose ed interessanti di cui è provvista: • • • • In primo luogo, essa è stata creata mediante l’utilizzo della stessa piattaforma impiegata dagli autori di malware per lo sviluppo di Flame e non, come le successive varianti di Stuxnet, tramite la piattaforma Tilded. In secondo luogo, è stato rilevato che la diffusione del worm veniva realizzata attraverso l’infezione di file creati con il software Simatic Step 7, sviluppato da Siemens, e che la «nuova» versione di Stuxnet sottoposta ad analisi non conteneva alcun exploit appositamente elaborato per colpire i prodotti Microsoft. In terzo luogo, il processo di diffusione di Stuxnet 0.5 è improvvisamente cessato il 4 luglio 2009. E’ infine risultato che proprio Stuxnet 0.5 era dotato di un payload dannoso pienamente operativo nei confronti dei Programmable Logic Controller (PLC) Siemens 417 (nelle successive versioni del malware ‐ Stuxnet 1.x ‐ tale funzionalità è invece risultata incompleta). I risultati delle analisi condotte sul codice nocivo contenuto nel sample della versione 0.5 di Stuxnet hanno permesso di aggiungere preziose informazioni riguardo alle specifiche caratteristiche di tale programma nocivo, uno dei malware più sofisticati mai sviluppati dai virus writer. Con ogni probabilità, nell’immediato futuro, ulteriori elementi di volta in volta individuati dagli analisti andranno ad integrare le informazioni di cui attualmente disponiamo riguardo al famigerato worm. Lo stesso si può dire per i sample di cyber‐armi o per gli strumenti di cyber‐spionaggio scoperti dopo il rilevamento di Stuxnet; ciò che al giorno d’oggi sappiamo su di essi è ben lungi dal rappresentare qualcosa di completo e definitivo. Gli attacchi mirati Attacchi informatici contro attivisti tibetani e uiguri Nel corso del primo trimestre del 2013 è continuata di gran lena la conduzione di attacchi informatici di natura mirata nei confronti di attivisti tibetani e uiguri. Per raggiungere gli obiettivi che si erano prefissi, gli aggressori di turno hanno usato ogni possibile mezzo e strumento: sono stati sottoposti ad attacco utenti di Mac OS X, Windows e Android. Durante gli scorsi mesi di gennaio e febbraio è stato da noi rilevato un sensibile aumento del numero di attacchi mirati condotti nei confronti di utenti uiguri provvisti di sistema operativo Mac OS X. Tutti gli assalti informatici in questione utilizzavano la vulnerabilità CVE‐2009‐0563, peraltro già chiusa da Microsoft circa 4 anni fa. L’exploit in grado di sfruttare tale falla di sicurezza veniva recapitato sui computer‐vittima tramite appositi documenti MS Office, facilmente riconoscibili grazie al singolare nome dell’autore indicato nelle proprietà del file, ovvero «captain». In caso di esito positivo dell’azione nociva esercitata, tale exploit generava il download di un programma backdoor per Mac OS X, elaborato sotto forma di file Mach‐O. Si trattava, nella circostanza, di una backdoor di dimensioni decisamente contenute, dotata di funzionalità molto limitate; essa provvedeva esclusivamente ad installare un ulteriore programma backdoor ed un programma nocivo specificamente elaborato per realizzare il furto dei dati personali (contatti). Gli attacchi nei confronti degli attivisti tibetani sono stati invece da noi individuati a metà del mese di marzo 2013. Nel caso specifico, gli aggressori utilizzavano l’exploit CVE‐2013‐0640, già menzionato all’interno del nostro report (exploit precedentemente utilizzato nell’ambito degli attacchi ItaDuke), per bypassare la «sandbox» presente in Acrobat Reader X ed infettare, in tal modo, i computer presi di mira. Alla fine del mese di marzo 2013, l’ondata di attacchi informatici analizzata nel presente capitolo ha colpito anche gli utenti dei dispositivi mobile equipaggiati con sistema operativo Android. Tutto è iniziato con l’hacking dell’account di posta elettronica di un noto attivista tibetano, a nome del quale sono stati inviati messaggi e‐mail nocivi contenenti uno specifico allegato sotto forma di file con estensione .APK, che si è rivelato essere, in realtà, un software nocivo destinato alla piattaforma Android (i prodotti anti‐malware di Kaspersky Lab rilevano tale programma dannoso come Backdoor.AndroidOS.Chuli.a). Il malware in questione, dopo aver comunicato segretamente al proprio server di comando il buon esito del processo di infezione del dispositivo‐vittima, inizia a raccogliere le informazioni e i dati custoditi all’interno di quest’ultimo: contatti, registri delle chiamate, messaggi SMS, dati GPS, informazioni sul dispositivo stesso. Successivamente, il programma backdoor provvede a criptare i dati sottratti, avvalendosi del sistema di codifica Base64, e ne effettua l’upload sul server di comando. Le specifiche indagini da noi condotte relativamente al server di comando e controllo utilizzato nell’ambito dei suddetti attacchi hanno evidenziato come gli aggressori utilizzassero, di fatto, la lingua cinese. Solo pochi giorni dopo che erano stati resi noti i risultati delle ricerche da noi eseguite, The Citizen Lab ‐ il noto laboratorio interdisciplinare insediato presso l'Università di Toronto ‐ ha pubblicato una dettagliata analisi riguardo ad un incidente virale del tutto simile. Il bersaglio di tale attacco informatico era costituito, anch’esso, da utenti Android collegati, in un modo o nell’altro, con il Tibet e gli attivisti tibetani. Nella fattispecie, il programma nocivo utilizzato possedeva funzionalità del tutto analoghe a quelle sopra descritte (furto di informazioni personali); è poi emerso che si trattava, in pratica, di una versione compromessa di Kakao Talk, il popolare client di instant messaging per dispositivi Android. Attacchi hacking nei confronti dei network aziendali di importanti società tecnologiche Desideriamo evidenziare come, nel primo trimestre dell’anno in corso, si siano purtroppo verificati numerosi episodi di hacking nei confronti delle infrastrutture informatiche di note aziende di elevato profilo tecnologico, volti a procurare, tra l’altro, consistenti fughe di password. Tra le “vittime” di tali insistiti e sofisticati attacchi segnaliamo società del calibro di Apple, Facebook, Twitter, Evernote, ed altre ancora. All’inizio del mese di febbraio, ad esempio, Twitter ha ufficialmente dichiarato che ignoti aggressori erano riusciti a realizzare il furto di dati (incluso le hash delle password) relativi a ben 250.000 utenti del celebre social network. Appena due settimane dopo, attraverso il proprio blog, Facebook comunicava che i laptop di alcuni suoi dipendenti erano stati infettati dal malware. L’incidente virale si era prodotto a seguito della visita di un sito web compromesso, nella fattispecie un sito per sviluppatori di applicazioni mobile, violato dai malintenzionati e contenente un pericoloso exploit. La società ha in seguito dichiarato che non si è trattato di un comune assalto informatico, bensì di un vero e proprio attacco mirato: il preciso obiettivo degli aggressori, difatti, era quello di penetrare all’interno del network aziendale di Facebook. Fortunatamente, secondo quanto affermato dai rappresentanti della più estesa rete sociale del pianeta, Facebook è riuscita ad evitare ogni possibile perdita di informazioni e di dati relativi ai propri utenti. Trascorsi pochi giorni, anche Apple dichiarava, da parte sua, che nei confronti di alcuni suoi dipendenti era stato condotto esattamente lo stesso tipo di attacco informatico sopra descritto, verificatosi a seguito della visita del suddetto sito web per sviluppatori mobile. Anche in tale circostanza, secondo quanto affermato da Apple, non aveva avuto luogo alcuna fuga di dati. All’inizio del mese di marzo, infine, la società Evernote ha comunicato a tutti i propri utenti (all’incirca 50 milioni) di provvedere a reimpostare al più presto la password utilizzata fino ad allora, allo scopo di proteggere informazioni e contenuti riservati ad essi relativi. Tale decisione è scaturita a seguito di un attacco hacker subito da Evernote, nel corso del quale i malintenzionati si sono introdotti nella rete interna della società, tentando di ottenere l’accesso ai dati riservati in essa custoditi. Per tutto il 2011 abbiamo assistito al manifestarsi di numerosi episodi di hacking di massa, nel corso dei quali si sono verificate ripetute intrusioni nelle reti aziendali di varie società, con successive ingenti fughe di dati. Sul momento, qualcuno ha forse pensato che, con il tempo, tali attacchi avrebbero potuto progressivamente attenuarsi, fino a scomparire del tutto dalla scena della cybercriminalità: in realtà, gli sviluppi si sono rivelati assai diversi. In effetti, così come nel recente passato, i malintenzionati continuano tuttora a mostrarsi interessati alla conduzione di estese operazioni di hackeraggio nei confronti delle infrastrutture informatiche di società di primaria importanza, con il preciso obiettivo di carpire illegalmente informazioni e dati confidenziali (incluso quelli relativi agli utenti). Il malware mobile Nel mese di febbraio 2013 abbiamo pubblicato la Parte 6 del nostro consueto report sull’evoluzione delle minacce informatiche specificamente «dedicate» a smartphone, tablet ed altri dispositivi mobile. Secondo i dati raccolti ed elaborati dai nostri esperti, nel 2012 l’OS Android è divenuto di gran lunga il principale obiettivo degli autori di malware mobile; complessivamente, nell’anno passato, abbiamo assistito ad una crescita esplosiva del numero dei software nocivi specificamente creati dai virus writer per infettare le piattaforme mobile. Ma la tendenza ad un rapido aumento del numero di programmi nocivi destinati ai sistemi operativi mobile ha continuato a manifestarsi anche durante il primo trimestre del 2013? La risposta, purtroppo, è affermativa. Alcuni dati statistici Gennaio, per tradizione, è un mese di relativa “calma” per ciò che riguarda l’attività degli autori di programmi malware per dispositivi mobile; nel primo mese del 2013, in effetti, sono state da noi complessivamente individuate “soltanto” 1.263 nuove varianti di malware mobile. Nel corso dei due mesi successivi, però, abbiamo rilevato l’esistenza di oltre 20.000 nuovi sample di software nocivi appositamente sviluppati per colpire i dispositivi mobile. Per la precisione, nel febbraio scorso sono state scoperte 12.044 nuove varianti di malware mobile, mentre nel successivo mese di marzo il loro numero ha raggiunto quota 9.443. Giudicate un po’ voi: lungo tutto l’arco del 2012, considerando tutte le piattaforme mobile esistenti, erano stati da noi complessivamente individuati 40.059 sample di programmi dannosi per smartphone, tablet ed altri apparecchi mobile. I Trojan‐SMS, responsabili dell’invio ‐ non autorizzato da parte dell’utente ‐ di messaggi SMS verso costosi numeri a pagamento, continuano tuttora a rappresentare la categoria di malware mobile più diffusa in assoluto; il 63,6% del volume complessivo di attacchi informatici compiuti attraverso il dispiegamento di programmi nocivi per dispositivi mobile è difatti da imputare proprio ai famigerati Trojan‐SMS. Il 99,9% dei nuovi malware mobile individuati nel corso del primo trimestre del 2013 è risultato essere specificamente rivolto al sistema operativo Android. In base ai dati raccolti tramite il servizio cloud KSN, la rete di sicurezza globale istituita da Kaspersky Lab, la TOP‐20 relativa agli oggetti nocivi (malware mobile e software potenzialmente indesiderati) maggiormente diffusi sui dispositivi Android, si presenta nel modo seguente: Posizione Denominazione 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Trojan‐SMS.AndroidOS.FakeInst.a Trojan.AndroidOS.Plangton.a Trojan‐SMS.AndroidOS.Opfake.a Trojan‐SMS.AndroidOS.Opfake.bo Trojan‐SMS.AndroidOS.Agent.a Trojan‐SMS.AndroidOS.Agent.u RiskTool.AndroidOS.AveaSMS.a Monitor.AndroidOS.Walien.a Trojan‐SMS.AndroidOS.FakeInst.ei Trojan‐SMS.AndroidOS.Agent.aq Trojan‐SMS.AndroidOS.Agent.ay Trojan.AndroidOS.Fakerun.a Monitor.AndroidOS.Trackplus.a Adware.AndroidOS.Copycat.a Trojan‐Downloader.AndroidOS.Fav.a Trojan‐SMS.AndroidOS.FakeInst.ee HackTool.AndroidOS.Penetho.a % sul numero complessivo di attacchi 29,45% 18,78% 12,23% 11,49% 3,43% 2,54% 1,79% 1,60% 1,24% 1,10% 1,08% 0,78% 0,75% 0,69% 0,66% 0,55% 0,54% 18 19 20 RiskTool.AndroidOS.SMSreg.b Trojan‐SMS.AndroidOS.Agent.aa HackTool.AndroidOS.FaceNiff.a 0,52% 0,48% 0,43% La leadership della speciale graduatoria da noi stilata è andata ad appannaggio del malware mobile denominato Trojan‐SMS.AndroidOS.FakeInst.a (29,45%). Si tratta di un programma nocivo rivolto principalmente agli utenti mobile ubicati sul territorio della Federazione Russa, preposto a generare il download ‐ da siti web dai contenuti quantomeno dubbi ‐ dei più disparati software nocivi destinati ai dispositivi mobile provvisti di OS Android. Spesso, all’interno di siti del genere, i malintenzionati distribuiscono insidiosi programmi malware, mascherati sotto forma di software in apparenza utili. Il secondo gradino del “podio” virtuale risulta occupato dal trojan “pubblicitario” classificato come Trojan.AndroidOS.Plangton.a (18,78%). Plangton si incontra piuttosto di frequente in varie applicazioni gratuite per smartphone Android: attraverso tale programma l’utente visualizza, a tutti gli effetti, dei messaggi pubblicitari sullo schermo del proprio dispositivo mobile. Il software in questione è inoltre provvisto di una specifica funzionalità nociva, volta a modificare la pagina web iniziale del programma di navigazione in uso presso l’utente, la quale viene furtivamente cambiata senza che quest’ultimo possa essere opportunamente avvisato e possa pertanto esprimere o meno il proprio consenso; è per tale motivo che il comportamento del programma adware Plangton viene ritenuto dannoso nei confronti del proprietario del dispositivo mobile. La principale area geografica di diffusione di tale software risulta essere attualmente l’Europa; nei paesi del “vecchio” continente Plangton viene in effetti attivamente utilizzato dagli sviluppatori di software gratuiti allo scopo di mostrare messaggi pubblicitari di ogni genere agli utenti degli smartphone, con il chiaro intento di cercare di “monetizzare” il prodotto realizzato. In terza e quarta posizione, poi, si sono insediati due Trojan‐SMS riconducibili alla famiglia Opfake: Trojan‐SMS.AndroidOS.Opfake.a (12,23%) e Trojan‐SMS.AndroidOS.Opfake.bo (11,49%). Ricordiamo, nella circostanza, come le prime varianti di malware mobile appartenente alla famiglia Opfake risultassero inizialmente camuffate sotto forma di una nuova versione di Opera, il popolare browser mobile. Attualmente, i programmi nocivi che recano il marchio della suddetta famiglia di malware si spacciano invece per nuove versioni di software particolarmente diffusi presso il pubblico degli utenti (Skype, Angry Birds e via dicendo). Gli incidenti virali Esamineremo qui di seguito due incidenti di particolare rilevanza che, nel corso del primo trimestre del 2013, si sono manifestati nello specifico segmento del malware appositamente sviluppato dai virus writer per attaccare i dispositivi mobile: • • individuazione del nuovo software nocivo denominato Perkele (o Perkel), specializzato nel “dare la caccia” ai codici segreti mTAN; creazione della botnet MTK. Degli insistiti attacchi mirati condotti nei confronti degli utenti del sistema operativo Android ‐ episodi di indubbia rilevanza nell’ambito dei principali incidenti virali verificatisi nei primi mesi dell’anno corrente ‐ abbiamo già riferito in un precedente capitolo del nostro report trimestrale dedicato all’evoluzione del malware. Perkel Nella prima metà del mese di marzo, il noto giornalista Brian Krebs ha individuato, all’interno di alcuni forum “underground” in lingua russa varie informazioni riguardo ad un nuovo trojan‐banker per dispositivi mobile, destinato agli utenti di ben 69 diversi paesi, resosi già responsabile di un considerevole numero di infezioni informatiche in ogni angolo del globo. Krebs ha ipotizzato che il trojan in questione fosse stato creato da virus writer di lingua russa, visto che il toolkit necessario per sviluppare tale software nocivo viene abitualmente diffuso attraverso forum per utenti russi. Notizie del genere, ovviamente, attirano immediatamente l’attenzione degli esperti di sicurezza IT che operano all’interno delle società produttrici di soluzioni antivirus; fino a quel momento, tuttavia, nessuno ancora disponeva di alcun sample relativo al suddetto programma malware. Qualche giorno dopo, in ogni caso, sono state rilevate le prime varianti del trojan Perkel. Le analisi da noi condotte sul nuovo malware individuato hanno subito evidenziato come, con la sua scoperta, il già nutrito gruppo di programmi malware specializzati nel furto dei codici mTAN contenuti negli SMS inviati dagli istituti bancari ai propri clienti, si fosse ulteriormente infoltito. Le funzionalità di cui è provvisto il trojan‐banker in causa sono quelle tipiche dei programmi riconducibili a tale tipologia di malware; segnaliamo, tuttavia, due specifici tratti distintivi che conferiscono a Perkel un marcato carattere di “unicità”: 1. per comunicare con il server di comando e controllo, e per effettuare l’upload dei dati e delle informazioni sensibili sottratte agli utenti (oltre ai codici segreti mTAN contenuti nei messaggi SMS ‐ trasmessi dalle banche ai propri clienti per il perfezionamento delle operazioni di banking online ‐ il malware qui esaminato raccoglie ugualmente varie informazioni relative al dispositivo mobile preso di mira) il trojan Perkel, di regola, non si avvale di messaggi SMS, bensì utilizza il normale protocollo HTTP. 2. Tale software nocivo è in grado di auto‐aggiornarsi, scaricando una nuova copia di se stesso dal server remoto di riferimento. La botnet mobile MTK A metà gennaio sono comparse varie notizie riguardo all’esistenza di una botnet di vaste proporzioni, composta da circa un milione di dispositivi mobile “zombie” equipaggiati con sistema operativo Android ed appartenenti, principalmente, ad utenti cinesi. E’ poi risultato essere l’artefice della creazione e dello sviluppo di tale estesa botnet mobile un insidioso programma malware distribuito dai malintenzionati sul territorio della Repubblica Popolare Cinese (le soluzioni antivirus di Kaspersky Lab rilevano tale software nocivo come Trojan.AndroidOS.MTK). Esso si diffonde attraverso siti web appartenenti alla categoria degli app store non ufficiali per la piattaforma Android, particolarmente diffusi in Cina; nella fattispecie, la distribuzione avviene tramite giochi ‐ compromessi dal malware ‐ che godono di notevole popolarità presso gli utenti mobile. Oltre che per eseguire il furto delle informazioni relative allo smartphone, dei contatti e dei messaggi presenti nel dispositivo, i programmi nocivi riconducibili a tale famiglia di malware vengono utilizzati dai cybercriminali allo scopo di “gonfiare” artificialmente la popolarità di numerose applicazioni. Per raggiungere tale obiettivo, i trojan in questione generano, a totale insaputa dell’utente, il download e la successiva installazione di tali applicazioni sullo smartphone‐ vittima; al tempo stesso, sul sito dell’app store, viene assegnato il rating più elevato al software scaricato sul dispositivo dell’utente. Una volta compiute le operazioni qui sopra descritte, i suddetti malware mobile provvedono ad interfacciarsi con il server remoto, per comunicare a quest’ultimo le attività nel frattempo eseguite. Come è noto, il numero delle applicazioni sviluppate per l’OS Android è in costante e repentina crescita, per cui risulta spesso alquanto complicato e difficile, per le applicazioni di volta in volta elaborate, acquisire l’auspicato grado di popolarità presso il pubblico degli utenti mobile. E’ proprio per tale specifico motivo che metodi del genere, utilizzati per accrescere illecitamente il livello di popolarità di un’applicazione, stanno purtroppo trovando una diffusione sempre più ampia nel panorama del malware. Revoca di certificati digitali emessi da TurkTrust Nel primo trimestre del 2013 si è verificato un ulteriore incidente di particolare rilevanza per ciò che riguarda, nello specifico, la sfera dei certificati digitali. Microsoft, Mozilla e Google hanno annunciato all’unisono la revoca di due certificati digitali emessi da TurkTrust, immediatamente rimossi dai database dei rispettivi browser web. E’ difatti emerso che, nel mese di agosto dello scorso anno, l’Autorità di Certificazione turca denominata TurkTrust aveva rilasciato a due diverse società dei certificati digitali “intermedi”, invece dei consueti certificati SSL. Certificati del genere possono essere utilizzati per la successiva emissione di certificati SSL standard, che i browser web ritengono poi sicuri ed affidabili durante la navigazione in Rete da parte dell’utente. Nel mese di dicembre, Google ha scoperto che uno dei certificati emessi a nome della suddetta Certificate Authority veniva illecitamente utilizzato per ricreare l'identità del dominio <google.com>, nell’ambito di attacchi informatici del tipo «man‐in‐the middle». Naturalmente, l’episodio dell’attacco registratosi nei confronti di Google non esclude l’eventualità che altri certificati digitali, rilasciati con le medesime modalità, possano essere stati agevolmente impiegati da malintenzionati in attacchi analoghi, rivolti ad altre società. L’ennesimo incidente legato all’emissione di certificati digitali e alla loro attendibilità, ha ancora una volta dimostrato come il serio problema dell’utilizzo nocivo di certificati del tutto legittimi risulti tuttora di estrema attualità. L’impiego di tali certificati per fini illeciti può essere difatti rilevato soltanto ad attacco informatico già avvenuto: non esistono, per il momento, metodi efficaci che consentano di poter prevenire il verificarsi di simili incidenti di sicurezza IT. Le statistiche Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti‐virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo. Le minacce in Internet I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull’evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall'anti‐virus web, preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di codice nocivo da una pagina web infetta. Possono risultare infetti sia i siti Internet appositamente allestiti dai cybercriminali, sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), così come i siti legittimi violati. Oggetti infetti rilevati in Internet Nel primo trimestre del 2013 le soluzioni anti‐malware di Kaspersky Lab hanno complessivamente respinto ben 821.379.647 attacchi condotti attraverso siti Internet compromessi dislocati in vari paesi. TOP‐20 relativa agli oggetti infetti rilevati in Internet Posizione 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Denominazione* Malicious URL Trojan.Script.Generic AdWare.Win32.Bromngr.b Trojan.Script.Iframer Exploit.Script.Blocker Trojan.JS.Redirector.xa Hoax.SWF.FakeAntivirus.i Trojan.Win32.Generic AdWare.Win32.MegaSearch.am Trojan‐Downloader.Win32.Generic Exploit.Script.Blocker.u AdWare.Win32.IBryte.heur Exploit.JS.Retkid.a Exploit.Script.Generic Hoax.HTML.FraudLoad.i Exploit.Win32.CVE‐2011‐3402.c Packed.Multi.MultiPacked.gen Trojan‐Clicker.HTML.Agent.bt WebToolbar.Win32.BetterInstaller.gen Trojan.JS.Redirector.xb % sul totale complessivo degli attacchi** 91,44% 2,79% 1,91% 0,73% 0,70% 0,33% 0,22% 0,17% 0,13% 0,09% 0,07% 0,05% 0,05% 0,05% 0,04% 0,04% 0,04% 0,04% 0,03% 0,03% * Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente anti-virus web; le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. ** Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici. Come si evince dalla tabella sopra riportata, al primo posto della speciale TOP‐20 dedicata agli oggetti nocivi rilevati in Internet figurano ancora una volta gli URL nocivi ‐ ovverosia quei link che conducono a programmi malware di vario tipo ‐ con una quota pari al 91,4% del volume complessivo dei rilevamenti eseguiti dal modulo anti‐virus web (+ 0,5% rispetto all'analogo valore riscontrato nel quarto trimestre del 2012). Desideriamo evidenziare, nella circostanza, come l’utilizzo delle sofisticate tecnologie di protezione IT implementate nella rete di sicurezza globale KSN, che prevedono aggiornamenti istantanei sui computer degli utenti attraverso la «nuvola telematica», abbia consentito di bloccare il 6,6% dei link dannosi. In precedenza, tali oggetti infetti venivano da noi identificati con la denominazione generica “Blocked”. Si tratta, in sostanza, di indirizzi Internet inseriti nella nostra blacklist, relativi ad un consistente numero di siti nocivi verso i quali vengono reindirizzati gli ignari utenti‐vittima; in genere, tali pagine web contengono kit di exploit, bot, trojan “estorsori”, etc. Nella maggior parte dei casi, gli utenti giungono sui siti web dannosi dopo aver visitato con il proprio browser risorse Internet del tutto legittime ‐ ma violate dai cybercriminali ‐ all'interno delle quali i malintenzionati hanno provveduto ad iniettare pericolosi codici dannosi, spesso sotto forma di script nocivi (tale tipologia di attacco informatico viene definita dagli esperti di sicurezza IT con l'appellativo di “drive‐by download”). Al tempo stesso, esiste in Rete un ragguardevole numero di siti web nocivi creati espressamente dai malfattori per lanciare pericolosi attacchi nei confronti dei computer‐vittima. E’ facile quindi comprendere come risulti di fondamentale importanza poter disporre, sul proprio computer, di un’efficace soluzione anti‐malware. Oltre a ciò, le infezioni informatiche possono prodursi anche quando gli utenti cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti pirata. Così come in precedenza, sono entrati a far parte della TOP‐5 della classifica esaminata nel presente capitolo del report trimestrale sulle attività del malware gli oggetti nocivi rilevati nei computer degli utenti come Trojan.Script.Generic (2° posto) e Trojan.Script.Iframer (4° posto). Tali software nocivi vengono abitualmente bloccati e neutralizzati dalle nostre soluzioni di sicurezza IT durante i tentativi di conduzione di attacchi di tipo “drive‐by”, i quali rappresentano, al giorno d’oggi, uno dei metodi in assoluto più diffusi per generare infezioni informatiche sui computer‐vittima. La settima posizione del rating qui analizzato risulta occupata dal malware classificato con la denominazione di Hoax.SWF.FakeAntivirus.i. Si tratta, di fatto, di un antivirus fasullo, generalmente distribuito dai malintenzionati tramite vari siti web dai contenuti piuttosto ambigui e discutibili. Se l’ignaro utente visita i siti Internet in questione, sulla finestra del browser utilizzato per l’esplorazione della Rete viene improvvisamente eseguita un’animazione Flash, attraverso la quale viene simulato il funzionamento di un classico programma antivirus. La «verifica» effettuata dal software fasullo evidenzia la «presenza», all’interno del computer‐vittima, di un enorme numero di programmi malware altamente pericolosi. A questo punto, allo scopo di eliminare al più presto i software nocivi «rilevati», i malintenzionati propongono all’utente l’impiego di una speciale soluzione di sicurezza informatica; per poterne beneficiare, la vittima del raggiro dovrà semplicemente procedere all’invio di un messaggio SMS verso un numero breve; sarà così inviato un apposito link che permetterà di effettuare il downolad del «miracoloso» programma antivirus, in grado di rimuovere ogni traccia di malware dal computer sottoposto a «contagio». E’ inoltre di particolare interesse osservare come il malware denominato Hoax.HTML.FraudLoad.i ‐ collocatosi al 15° posto del rating qui sopra riportato ‐ faccia ormai ininterrottamente parte, da alcuni mesi, della TOP‐20 relativa agli oggetti infetti rilevati in Internet. Con questa insidiosa minaccia informatica si trovano ad avere a che fare soprattutto coloro che si dilettano a scaricare gratuitamente da Internet ‐ da siti web dai contenuti alquanto dubbi ed equivoci ‐ ogni genere di film, serial e software. Il suddetto programma nocivo si presenta sotto forma di allettanti pagine web che “promettono” agli utenti di poter agevolmente realizzare il download di numerosi contenuti; per raggiungere lo scopo, tuttavia, è prima richiesto l’invio di un messaggio SMS a pagamento, oppure l’inserimento nell’apposito form del proprio numero di telefono cellulare, per la sottoscrizione di un abbonamento a pagamento. Una volta inviato il messaggio o introdotto il numero di telefono, anziché ottenere gli agognati contenuti, l’utente riceverà sul proprio dispositivo un file txt contenente istruzioni generiche per l’utilizzo dei motori di ricerca, oppure ‐ eventualità ancora peggiore ‐ un vero e proprio programma nocivo. Concludiamo la nostra breve rassegna sugli oggetti nocivi più frequentemente rilevati nel World Wide Web, evidenziando la presenza, al 16° posto della speciale graduatoria da noi stilata, dell’exploit denominato Exploit.Win32.CVE‐2011‐3402.c. Esso è stato appositamente sviluppato dai virus writer allo scopo di sfruttare la vulnerabilità individuata nella libreria <win32k.sys> (TrueType Font Parsing Vulnerability). Sottolineiamo come tale falla di sicurezza sia stata ugualmente utilizzata dai malintenzionati per realizzare la diffusione del worm Duqu. Paesi nelle cui risorse web si celano maggiormente i programmi malware I dati statistici qui di seguito riportati evidenziano in quali paesi risultano “fisicamente” collocati i siti web dai quali vengono scaricati i software nocivi che infestano la Rete. Per determinare l'origine geografica degli attacchi informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP). Rileviamo in primo luogo come, relativamente al primo trimestre del 2013, l' 81% delle risorse web utilizzate per la distribuzione di programmi nocivi da parte dei malintenzionati della Rete risulti concentrato in una ristretta cerchia di dieci paesi, evidenziati nel grafico qui sotto rappresentato. L'indice sopra menzionato ha fatto pertanto complessivamente registrare, nel corso dell’ultimo semestre, un decremento di 5 punti percentuali: esso è diminuito del 3% nel primo trimestre del 2013, mentre ha manifestato una flessione del 2% nel quarto trimestre del 2012. Distribuzione geografica delle risorse web contenenti programmi nocivi (ripartizione per paesi) Situazione relativa al primo trimestre del 2013 Ci pare innanzitutto doveroso sottolineare come la TOP‐10 analizzata in questo capitolo del nostro consueto report trimestrale dedicato all’evoluzione del malware presenti una nuova leadership: sul gradino più alto del “podio” virtuale ‐ precedentemente occupato dalla Federazione Russa ‐ si sono in effetti insediati ancora una volta gli USA. Nel primo trimestre dell’anno in corso la quota riconducibile alla Russia ha fatto registrare un valore pari al 19% (‐ 6%), mentre l’indice relativo agli Stati Uniti ha raggiunto il 25% (+ 3%); è curioso osservare come, per l’ennesima volta, i due suddetti paesi si siano scambiati la rispettiva posizione occupata in classifica. Le quote relative agli altri paesi presenti in graduatoria sono rimaste sostanzialmente invariate rispetto all’analogo rating relativo al quarto trimestre dello scorso anno. Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web ‐ rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo ‐ abbiamo stimato la frequenza con la quale, nel corso del trimestre qui analizzato, gli utenti dei prodotti Kaspersky Lab, ubicati nelle varie regioni geografiche mondiali, hanno visto entrare in azione il modulo anti‐virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l’indice in questione non dipenda, in ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato paese. I 20 paesi* nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet**. Situazione relativa al primo trimestre del 2013 * Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti). ** Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese. Rispetto al quarto trimestre del 2012, le prime dieci posizioni della graduatoria relativa ai paesi i cui utenti sono risultati sottoposti con maggiore frequenza ai rischi di infezioni informatiche diffuse attraverso il World Wide Web, sono rimaste in sostanza immutate. Così come in precedenza, la TOP‐10 in questione risulta interamente composta da paesi ubicati nello spazio geografico post‐sovietico. La Russia, ad esempio, con una quota pari al 57%, è andata ad occupare la terza piazza del rating da noi stilato. Alcuni interessanti cambiamenti si sono tuttavia prodotti nella seconda parte della classifica sopra riportata: nel primo trimestre del 2013, in effetti, sono entrate a far parte della TOP‐20 in causa sia la Tunisia (43,1%) che l’Algeria (39%). L’unico paese dell’Europa Occidentale presente nella suddetta graduatoria risulta essere l’Italia, collocatasi in sedicesima posizione con un indice pari al 39,9%. In base al livello d di «contamin nazione» info ormatica cui sono stati so ottoposti i co omputer deggli utenti nel n esame, risu ulta possibilee suddivideree i vari paesi del globo in gruppi distinti. trimeestre preso in 1. Gruppo a m massimo risch hio. Esso com mprende queei paesi in cu ui oltre il 60% % degli utenti della Rete ‐‐ almeno unaa volta ‐ si è imbattuto neegli insidiosi malware circcolanti in Intternet. Rileviamo come n nel questa catego oria, particollarmente primo trimeestre del 2013 sia tuttaviaa entrato a ffar parte di q critica, un so olo paese, il Tajikistan (60,4%). po ‐ contradd distinto da quote che 2. Gruppo ad aalto rischio. Sono entrati a far parte di tale grupp vanno dal 41% al 60% ‐ eesattamentee 13 dei 20 paesi che com mpongono laa Top‐20 (ovvvero lo stesso o numero di p paesi rilevato o nel quarto trimestre deel 2012). Evid denziamo come, ad eccezzione di Vietnam, Tu unisia e Sri Laanka ‐ che peeraltro occup pano le posizzioni di coda di questo seecondo gruppo ‐ si trovino n nella categorria “ad alto rrischio” esclu usivamente p paesi situati nello spazio geografico post‐sovietico, quali Arm menia (59,5% %), Russia (57 7%), Kazakhsstan (56,8%),, Azerbaijan (56,7%), Bielorussia ((49,9%) e Ukkraina (49%).. 3. Gruppo a risschio. Esso èè relativo agli indici perceentuali che spaziano nel range 21% ‐ 40%. Complessivaamente, sono entrati a faar parte di questo terzo ggruppo ben 102 paesi, trra cui Italia (39,9%), Germania (36,6 6%), Francia (35,8%), Belggio (33,8%), Sudan (33,1%), Spagna ((32,5%), Qataar 6%), Irlanda ((31,5%), Gran Bretagna ((30,2%), Emirati Arabi Un niti (28,7%) ee (31,9%), Staati Uniti (31,6 Paesi Bassi ((26,9%). uali la navigaazione in Inteernet risultaa più sicura. Per ciò che rriguarda il 4. Gruppo dei paesi nei qu ntano quote comprese primo trimeestre del 2013, figurano in tale gruppo 28 paesi, i quali presen nella forcheetta 12,5‐21% %. Gli indici p percentuali p più bassi in asssoluto (quo ote inferiori aal 20%), relativamen nte al numero o di utenti so ottoposti ad attacchi info ormatici attraverso il web b, sono stati registrati peer i paesi africani, nazioni caratterizzaate ‐ come è noto ‐ da un n debole svilu uppo delle infrastrutture Internet. Rappresentaano quindi un n’eccezione, nell’ambito della catego oria relativa aai uali il surfing in Rete risulta più sicuro o, il Giapponee (15,6%) e la Slovacchia (19,9%). paesi nei qu Quadro globa ale dei paesi i cu ui utenti sono risultati sottopossti al rischio di in nfezioni informa atiche attraverso o Internet one relativa al 1° 1 trimestre del 2013 Situazio mplessivo di ccomputer In meedia, nel corsso del trimesstre qui preso in esame, il 39,1% del numero com facen nti parte del Kaspersky Seecurity Netw work ha subitto almeno un n attacco info ormatico durante la quotiidiana navigaazione in Inteernet da parrte degli uten nti della Retee. Sottolineiaamo inoltre ccome, rispettto al quaarto trimestrre del 2012, la quota perrcentuale meedia di comp puter sottopo osti ad attaccchi durante l'esplorazione del web ‐ e, di conseguenzaa, esposti al rischio di pericolose infeezioni informatiche ‐ abbia 5%. fatto registrare un incremento pari all’ 1,5 Minacce informatiche locali Il presente capitolo del nostro consueto report trimestrale dedicato all'evoluzione delle minacce informatiche analizza i dati statistici ottenuti grazie alle attività di sicurezza IT svolte dal modulo antivirus (preposto ad effettuare la scansione dei file presenti sul disco rigido al momento della loro creazione o quando si vuole accedere ad essi), unitamente alle statistiche relative ai processi di scansione condotti sui vari supporti rimovibili. Oggetti nocivi rilevati nei computer degli utenti Nell'arco del primo trimestre del 2013 le nostre soluzioni antivirus hanno bloccato 490.966.403 tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network. Oggetti nocivi rilevati nei computer degli utenti: TOP‐20 Posizione % di utenti unici sottoposti ad Denominazione attacco* 1 DangerousObject.Multi.Generic 18,51% 2 Trojan.Win32.Generic 16,04% 3 Trojan.Win32.AutoRun.gen 13,60% 4 Virus.Win32.Sality.gen 8,43% 5 Exploit.Win32.CVE‐2010‐2568.gen 6,93% 6 Trojan.Win32.Starter.yy 5,11% 7 Net‐Worm.Win32.Kido.ih 3,46% 8 HiddenObject.Multi.Generic 3,25% 9 Trojan.Win32.Hosts2.gen 3,17% 10 Virus.Win32.Nimnul.a 3,13% 11 Virus.Win32.Generic 3,09% 12 Net‐Worm.Win32.Kido.ir 2,85% 13 Trojan.Script.Generic 2,54% 14 AdWare.Win32.Bromngr.b 2,51% 15 Exploit.Java.CVE‐2012‐1723.gen 2,38% 16 Trojan.Win32.Starter.lgb 2,38% 17 Trojan‐Downloader.Win32.Generic 2,13% 18 AdWare.Win32.Bromngr.h 2,11% 19 Hoax.Win32.ArchSMS.gen 2,09% 20 Trojan‐Dropper.VBS.Agent.bp 1,97% I dati statistici sopra indicati sono stati elaborati sulla base dei rilevamenti effettuati dai moduli anti-virus OAS (scanner on-access) e ODS (scanner on-demand). Le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. * Quote percentuali relative agli utenti unici sui computer dei quali l'anti-virus ha rilevato l'oggetto maligno. Le quote indicate si riferiscono al totale complessivo degli utenti unici dei prodotti Kaspersky Lab, presso i quali sono stati eseguiti rilevamenti da parte dell'anti-virus. Così come in precedenza, le prime tre posizioni della speciale graduatoria relativa al primo trimestre del 2013 sono andate ad appannaggio dei tre oggetti nocivi che tradizionalmente detengono la leadership del rating qui analizzato, peraltro con un notevole margine percentuale rispetto ai diretti “concorrenti”. Sul primo gradino del “podio” virtuale si sono collocati i programmi malware classificati con la denominazione di DangerousObject.Multi.Generic; la quota percentuale ad essi attribuibile è risultata pari al 18,51% del numero totale di utenti unici dei prodotti Kaspersky Lab presso i quali, durante il primo trimestre dell’anno in corso, sono stati eseguiti rilevamenti da parte del nostro modulo anti‐virus (+ 1,8% rispetto all’analogo valore riscontrato nel quarto trimestre del 2012). Tali software dannosi vengono rilevati con l'ausilio delle nuove ed avanzate tecnologie «in‐the‐cloud», le quali intervengono proprio quando non esiste ancora, all'interno di un database anti‐virus, la firma di un determinato software nocivo, né risulta possibile l'applicazione del metodo di rilevamento euristico, mentre la società produttrice di soluzioni anti‐malware ‐ nella fattispecie Kaspersky Lab ‐ dispone già, nella propria «nuvola telematica», delle informazioni relative all'oggetto nocivo in questione. In tal caso, all'oggetto individuato e neutralizzato viene assegnata la denominazione di DangerousObject.Multi.Generic. Di fatto, al giorno d’oggi, i programmi nocivi di più recente apparizione sulla scena del malware vengono in primo luogo rilevati tramite le sofisticate tecnologie «in‐the‐cloud». La seconda piazza della graduatoria sopra riportata risulta occupata dal malware denominato Trojan.Win32.Generic (16%); esso viene individuato tramite analizzatore euristico, nel corso delle procedure di rilevamento proattivo effettuate su un cospicuo numero di software nocivi. Al terzo posto del rating in questione troviamo poi Trojan.Win32.AutoRun.gen (13,6%); vengono classificati con tale denominazione determinati programmi malware che si avvalgono del meccanismo di autorun. I programmi AdWare riconducibili alla famiglia di software “pubblicitari” denominata AdWare.Win32.Bromngr sono comparsi per la prima volta all’interno della TOP‐20 qui analizzata nel quarto trimestre del 2012, collocandosi, nella circostanza, all’ottavo posto del rating. Nel primo trimestre del 2013, tali software sono andati ad occupare ben due diverse posizioni all’interno della classifica qui sopra inserita (14° e 18° posto). Tutte le varianti dei suddetti moduli AdWare sono in pratica costituite da librerie DLL, concepite sotto forma di estensioni (add‐on) per i browser che godono di maggiore popolarità presso il pubblico della Rete (Internet Explorer, Mozilla Firefox, Google Chrome). Come la maggior parte dei programmi appartenenti a tale specifica tipologia, il suddetto modulo è in grado di modificare le impostazioni di ricerca precedentemente stabilite dall’utente, nonché la pagina iniziale del programma di navigazione; allo stesso modo, l’AdWare in questione si manifesta periodicamente sullo schermo del “computer‐vittima”, creando apposite finestre di pop‐up con i più disparati annunci pubblicitari. Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali E' stata da noi determinata la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del primo trimestre del 2013, sono stati bloccati tentativi di infezione informatica di natura «locale». Le cifre ricavate dalle elaborazioni statistiche da noi eseguite riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria da noi stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti‐virus di Kaspersky Lab. In media, nel 31,4% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN) ‐ in pratica in un computer su tre ‐ è stato individuato perlomeno una volta un file dannoso, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore ha fatto registrare una diminuzione dello 0,8% rispetto all’analogo indice riscontrato nel trimestre precedente. Livello di «contaminazione» informatica rilevato nei computer degli utenti KSN* ‐ TOP‐20 dei paesi sottoposti al rischio più elevato di infezioni informatiche locali**. Dati relativi al primo trimestre del 2013 * Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate minacce informatiche locali, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese. ** Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di 10.000 utenti). Desideriamo sottolineare come, per il quarto trimestre consecutivo, le prime venti posizioni del rating qui sopra riportato risultino quasi interamente occupate da paesi ubicati nel continente africano, in Medio Oriente e nel Sud‐Est asiatico. La quota relativa al Bangladesh, tradizionale leader della speciale classifica da noi stilata ‐ basata sul numero di computer nei quali i nostri prodotti anti‐malware hanno individuato e bloccato pericolosi programmi malware ‐ è ulteriormente diminuita (stavolta dell’ 11,8%) attestandosi in tal modo su un valore pari al 67,8%. Ricordiamo nella circostanza come, nel terzo trimestre del 2012, l’indice attribuibile al popoloso paese situato nel sub‐continente indiano avesse fatto segnare un valore estremamente elevato, pari addirittura al 90,9%. Così come per le infezioni informatiche che si diffondono attraverso il World Wide Web, anche relativamente alle minacce IT che si manifestano localmente sui computer degli utenti, risulta possibile stilare una sorta di graduatoria «geografica», suddividendo i vari paesi del globo in categorie ben distinte, a seconda del livello di «contaminazione» informatica che ha contraddistinto questi ultimi nel corso del primo trimestre dell'anno. 1. Massimo livello di rischio di infezione informatica. Secondo i dati da noi raccolti ed elaborati relativamente al primo trimestre del 2013, tale gruppo, che si contraddistingue per un indice di rischio di «contaminazione» informatica superiore al 60% di utenti unici, è risultato essere composto di due sole unità. In esso figurano difatti esclusivamente 2 paesi, entrambi ubicati nella macro‐regione asiatica: Bangladesh (67,8%) e Vietnam (60,2%). 2. Elevato liveello di rischio o di infezione e informatica. Di questo secondo ragggruppamento, la cui forbice perccentuale spazzia dal 41 al 60%, fanno parte ben 41 1 paesi, tra cui Iraq (50,9%), Siria (45,5%), Birmania (44,5% %), Angola (4 42,3%) e Arm menia (41,4% %). 0%) annoveraa invece 60 3. Medio livelllo di rischio di infezione informaticaa. Il terzo gruppo (21 ‐ 40 nazioni, tra cui Cina (37,,6%), Qatar ((34,6%), Russsia (34,3%), U Ukraina (33,6%), Libano (32,4%), %), Cipro (23,,3%). Croazia (26,1%), Spagnaa (26%), Italiaa (23,8%), Fraancia (23,4% ello di rischio o di infezione informaticca. Nel primo o trimestre d dell’anno in ccorso sono 4. Minimo live entrati a farr parte di talee gruppo (qu uota di utentti unici pari o o inferiore al 21%) 31 nazzioni, tra cui Belgio (19,3%), Stati Uniiti (19%), Graan Bretagna (18,6%), Ausstralia (17,5% %), Germaniaa (17,7%), 6%), Danimaarca (12,1%) e Giappone (9,1%). Estonia (17,8%), Paesi Bassi (16,2%),, Svezia (14,6 Qua adro mondiale le relativo al rrischio del prrodursi di infe ezioni informa matiche “locali li” sui computter degli uten nti ubicati ne ei vari paesi. Situazione S re elativa al prim mo trimestre d del 2013 La TO OP‐10 qui sottto inserita si riferisce a q quei paesi ch he vantano in n assoluto le quote perceentuali più bassee in termini d di rischio di ccontagio dei computer deegli utenti daa parte di inffezioni inform matiche locaali: Giapp pone Danim marca Finlan ndia Svezia Repubblica Ceca Svizze era Irland da Paesii Bassi Nuovva Zelan nda Norve egia 9,1% 12,1% 13,6% 14,6% 14,8% 15,1% 15,2% 16,2% 16,6% 16,8% o rilevato riguardo al quaarto trimestrre del 2012, ssono entrati a far parte d della TOP‐10 0 Rispeetto a quanto sopraa riportata du mportato ue nuovi paeesi, ovvero Paesi Bassi e Norvegia; le “new entry”” hanno com l’esclusione da tale classifica d di Lussembu urgo e Porto Rico. Vulnerabilità Nel primo trimestre del 2013 sono state individuate nei computer degli utenti di KSN ben 30.901.713 vulnerabilità (tra applicazioni e file vulnerabili). In media, su ogni computer che ha evidenziato falle di sicurezza sono state rilevate 8 diverse vulnerabilità. La TOP‐10 relativa alle vulnerabilità più diffuse viene presentata nella dettagliata tabella qui sotto riportata. № 1 2 3 4 5 6 7 8 Secunia ID Denominazione Conseguenze dello sfruttamento della vulnerabilità SA 50949 Oracle Java Multiple Vulnerabilities http://www.securelist.com/en/advisories/50 949 SA 51771 Adobe Flash Player / AIR Integer Overflow Vulnerability http://www.securelist.com/en/advisories/51 771 Attacco DoS (Denial of Service). Accesso al sistema. Diffusione di informazioni confidenziali. Manipolazione dati. Accesso al sistema SA 51090 Percentuale di utenti presso i quali è stata individuata la vulnerabilità* 45,26% 22,77% Data di pubblicazion e Livello di pericolosità 17.10.2012 Altamente Critico 08.01.2013 Altamente Critico Codice campo modificato Adobe Shockwave Player Multiple Vulnerabilities http://www.securelist.com/en/advisories/51 090 Accesso al sistema Oracle Java Two Code Execution Vulnerabilities http://www.securelist.com/en/advisories/51 820 Accesso al sistema Adobe Reader/Acrobat Multiple Vulnerabilities http://www.securelist.com/en/advisories/47 133 Accesso al sistema VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities http://www.securelist.com/en/advisories/51 692 Accesso al sistema SA 51226 Apple QuickTime Multiple Vulnerabilities http://www.securelist.com/en/advisories/51 226 Accesso al sistema SA 43853 Google Picasa Insecure Library Loading Vulnerability http://www.securelist.com/en/advisories/43 853 Accesso al sistema Winamp AVI / IT File Processing Vulnerabilities http://www.securelist.com/en/advisories/46 624 Adobe Flash Player Multiple Vulnerabilities http://www.securelist.com/en/advisories/41 917 Accesso al sistema 11,30% 03.08.2012 Altamente Critico Accesso al sistema. Diffusione di informazioni confidenziali. 11,21% 28.10.2010 Estremament e Critico SA 51280 SA 47133 SA 51692 9 SA 46624 1 0 SA 41917 Codice campo modificato 18,19% 24.10.2012 Altamente Critico Codice campo modificato 17,15% 10.01.2013 Estremament e Critico Codice campo modificato 16,32% 07.12.2011 Estremament e Critico Codice campo modificato 14,58% 28.12.2012 Altamente Critico Codice campo modificato 14,16% 12,85% 08.11.2012 25.03.2011 Altamente Critico Codice campo modificato Altamente Critico Codice campo modificato Codice campo modificato Elusione del sistema di protezione. *Nello stilare la TOP-10 sono stati presi in considerazione tutti gli utenti nei computer dei quali sia stata rilevata perlomeno una vulnerabilità. Le vulnerabilità maggiormente diffuse e sfruttate dai malintenzionati nel periodo analizzato nel presente report sono risultate essere quelle individuate in Java. Tali falle di sicurezza sono state rilevate nel 45,26% dei computer degli utenti di KSN. Chiude il rating in questione una vulnerabilità piuttosto datata, ma tuttora estremamente pericolosa, individuata in Adobe Flash Player; sebbene sia stata resa nota già nel mese di ottobre del 2010, essa è stata ancora rilevata nell’ 11,21% dei computer dimostratisi vulnerabili. Le prime cinque posizioni della graduatoria che riassume il quadro delle vulnerabilità attualmente più utilizzate da parte dei cybercriminali risultano occupate da prodotti sviluppati da Oracle e Adobe; è andata inoltre ad appannaggio di Adobe, come abbiamo appena visto, anche l’ultima posizione della speciale classifica da noi elaborata. Dalla sesta alla nona piazza del rating troviamo infine alcune vulnerabilità individuate in software ‐ sviluppati da varie società ‐ particolarmente popolari presso il pubblico degli utenti. Ripartizione delle vulnerabilità presenti nella TOP-10 secondo i vari produttori di software Primo trimestre del 2013 Tutte le vulnerabilità presenti nella TOP‐10 in questione possono avere effetti nefasti sulla sicurezza del computer, in quanto esse consentono al malintenzionato ‐ tramite l'utilizzo da parte di quest'ultimo di appositi exploit ‐ di ottenere il pieno controllo sul sistema informatico sottoposto a contagio. Inoltre, tutte e dieci le vulnerabilità elencate nel rating riportato nella parte iniziale del capitolo permettono l’esecuzione del codice spontaneo con privilegi di utente locale. Ripartizione delle vulnerabilità presenti nella TOP-10 secondo l'impatto prodotto sul sistema Primo trimestre del 2013 Vulnerabilità del genere godono sempre di notevole popolarità presso le folte schiere dei malintenzionati della Rete; inoltre, gli exploit preposti allo sfruttamento di tali falle di sicurezza vengono attualmente offerti sul mercato «nero» della cybercriminalità a prezzi nettamente superiori rispetto alla maggior parte degli altri exploit presenti nel vasto panorama del malware.
