DarkVishnya: attacchi dall’interno

6 Dic 2018

Di solito, quando indaghiamo su incidente informatico, cerchiamo innanzitutto la fonte dell’infezione, che non è così difficile da individuare: ad esempio, andiamo alla ricerca di un’e-mail con un allegato dannoso o di un server hackerato. Di norma, gli specialisti in sicurezza dispongono di un elenco di dispositivi da controllare, per cui non devono fare altro che capire da quale dispositivo è partita l’attività dannosa. E se invece tutti i computer sembrano essere a posto, pur avendo registrato un’azione dannosa in corso?

Di recente, i nostri esperti hanno dovuto effettuare delle indagini proprio su un caso di questo tipo. E hanno scoperto che i cybercriminali avevano collegato i propri dispositivi alla rete aziendale.

Questo nuova tecnica di attacco, battezzata DarkVishnya, entra in azione quando il cybercriminale porta un dispositivo all’interno dell’ufficio della vittima e lo collega alla rete aziendale. Grazie al dispositivo, il cybercriminale può esaminare l’infrastruttura IT dell’azienda, intercettare le password, visionare informazioni presenti nelle cartelle pubbliche e tanto altro.

In un post dedicato su Securelist troverete tutti i dettagli tecnici dell’attacco. In questo caso in particolare, i cybercriminali hanno colpito diverse banche dell’Europa orientale, ma è una tecnica che in teoria potrebbe essere utile per attaccare qualsiasi grande azienda; e più è grande la compagnia, meglio è, in quanto è molto più semplice nascondere un dispositivo dannoso in un grande ufficio (e l’efficacia dell’attacco è garantita se la compagnia ha diverse sedi sparse per il mondo connesse a un’unica rete).

I dispositivi

Facendo le dovute indagini, i nostri esperti hanno individuato tre tipologie di dispositivi utilizzati per perpetrare l’attacco. Non sappiamo ancora se questi dispositivi siano stati tutti collocati da un unico gruppo, o se ci sono vari attori da tenere in considerazione; in ogni caso, tutti gli attacci hanno seguito la stessa metodologia. I dispositivi coinvolti sono:

  • Un portatile o netbook di basso costo. I cybercriminali non hanno bisogno di un modello di alta gamma, possono utilizzare anche uno di seconda mano, collegarlo a un modem 3G e installare un programma di controllo remoto. Poi nascondono semplicemente il dispositivo per evitare di farsi notare e collegano due cavi, uno alla rete e l’altro a una fonte di alimentazione elettrica;
  • Un Raspberry Pi. Si tratta di un computer in miniatura che si ricarica mediante una porta USB. Costa poco e non attira per nulla l’attenzione, si può acquistare facilmente e nascondere in un ufficio, creando ancor meno sospetti di un portatile. Un dispositivo di questo tipo può essere collegato a un computer, per poi essere nascosto facilmente tra i cavi, o collegato a una porta USB di una TV in una sala d’aspetto;
  • Un Bash Bunny, dispositivo solitamente utilizzato come strumento di test di penetrazione, viene venduto liberamente sui forum hacker. Non necessita la connessione a una rete dedicata e funziona mediate la porta USB di un computer. Da un lato, è uno strumento che può essere nascosto facilmente, perché ha le sembianze di una chiavetta. Dall’altro, le tecnologie di controllo dei dispositivi reagiscono immediatamente a questo tool, il che rende più complicato avvalersi di questa opzione.

Come sono riusciti a collegare i dispositivi?

Non è poi così difficile far “infiltrare” questi dispositivi anche in aziende in cui il tema sicurezza viene preso sul serio. Negli uffici si lasciano passare facilmente corrieri, persone che cercano lavoro o rappresentanti di clienti, e un cybercriminale potrebbe facilmente spacciarsi per una di queste persone.

Inoltre, negli uffici le prese Ethernet si trovano praticamente ovunque (nei corridoi, nelle sale riunioni, nelle sale d’aspetto etc). Semplicemente entrando in un palazzo di uffici, vi renderete conto di quanti posti potrebbero andar bene per nascondere un piccolo dispositivo collegato alla rete e a una presa elettrica.

Cosa si può fare?

Questo tipo di attacco per lo meno ha il punto debole di costringere il cybercriminale a entrare nell’ufficio e a collegare fisicamente il dispositivo. Per questo motivo, la prima cosa da fare è impedire a estranei di avere accesso ai luoghi in cui è possibile collegarsi alla rete.

  • Disattivate le prese Ethernet che non si utilizzano e che si trovano in zone comuni. Se ciò non dovesse essere possibile, fate in modo che siano tutte isolate in un segmento di rete separato;
  • Fate in modo che le telecamere di vigilanza comprendano nella loro visuale anche le prese Ethernet: da un lato, questo accorgimento può fare da deterrente e, dall’altro, si possono ricavare informazioni utili in caso di incidente;
  • Avvaletevi di una soluzione di sicurezza con tecnologie affidabili di controllo dei dispositivi (come il nostro Kaspersky Endpoint Security for Business);
  • Prendete in considerazione l’idea di avvalervi di una soluzione specifica per il monitoraggio di anomalie e attività sospette sulla rete (come Kaspersky Anti Targeted Attack Platform).