Gli hacker usano servizi di terze parti per coordinare campagne di malware. Lo studio, pubblicato da Virus Bulletin per la conferenza VB2015, rivela come la crittografia usata dai servizi online come Twitter permetta agli attaccanti – come il gruppo sponsorizzato dallo Stato “The Dukes” – di diffondere malware e rubare dati.
«In poche parole, gli attaccanti stanno usando alcuni servizi di terze parti per non essere scoperti dalle soluzioni di sicurezza aziendale» spiega Artturi Lethiö, ricercatore in F-Secure, che ha redatto il report e presentato i suoi risultati a VB2015. «Molti servizi online usano la crittografia per prevenire che i dati vengano intercettati e rubati mentre sono in transito, ma il rovescio della medaglia è che così facendo le misure di sicurezza come i firewall non sono in grado di identificare il traffico malevolo. È una vera e propria sfida per le aziende, e la mia ricerca ha mostrato come attaccanti come i Dukes capitalizzino questo vantaggio nei loro attacchi.»
I Dukes sono un gruppo di attaccanti sponsorizzati dallo Stato che hanno preso di mira organizzazioni collegate ai governi negli ultimi 7 anni (almeno), e sono stati l’argomento di un recente white paper pubblicato dai Laboratori di F-Secure.
Il nuovo report di Lethiö fornisce dettagli su come i Dukes effettuino gli attacchi usando servizi di terze parti come un’infrastruttura di “comando e controllo” – essenzialmente uno strumento per coordinare attacchi. Il report nello specifico sottolinea come i Dukes siano stati capaci di usare Twitter per comunicare con macchine infette, e far loro scaricare malware aggiuntivo. Sono stati anche in grado di usare Microsoft OneDrive come strumento di estrapolazione di dati, permettendo di rubare quindi dati senza attirare l’attenzione su di sé.
«Usare questi servizi come un’infrastruttura di comando e controllo permette a chi attacca di sfruttare l’accesso alle connessioni di rete date a piattaforme online affidabili», spiega Lethiö. «Gli attaccanti li usano per comunicare con i dispositivi che loro stessi hanno già infettato, così da non colpire direttamente fornitori di servizi o utenti a caso. I social media offrono semplicemente agli attaccanti uno strumento user-friendly e vantaggioso per coordinare le loro campagne ed essere certi di raggiungere i loro obiettivi.»
Le campagne malware che usano servizi di terze parti sono spesso difficili da rilevare da parte delle aziende perché i dati malevoli scambiati tra gli attaccanti e i loro bersagli sono crittografati e mischiati insieme al traffico legittimo. Il ricercatore di F-Secure afferma che molte aziende non stanno decrittografando il traffico web in modo attivo per differenziare i due tipi di traffico. Uno studio ha rilevato che meno del 50% delle aziende con gateway dedicati a proteggere il web decrittografano il traffico in uscita, e meno del 20% delle organizzazioni con firewall, sistemi di intrusion prevention o appliance UTM decrittografano il traffico SSL in entrata e in uscita.
Ma secondo Jarno Niemelä, Senior Researcher di F-Secure, basarsi su soluzioni di sicurezza che decrittografano il traffico Internet può essere una proposta rischiosa, e le aziende devono essere a conoscenza delle potenziali difficoltà di questo approccio. Oltre a questo, una protezione endpoint affidabile può distruggere questi attacchi al manifestarsi dell’infezione poiché non dipende dalla capacità di rompere o bypassare la crittografia, rappresentando così un modo più sicuro ed efficiente per le aziende di proteggere se stesse.
