Come difendersi da CozyDuke, detto anche “Office Monkeys”

Una nuova APT appartenente alla “famiglia Duke” sta colpendo obiettivi di alto profilo tra cui il Dipartimento di Stato statunitense. Stiamo parlando di CozyDuke, nota anche come “Office Monkeys” per via dei video usati come esca.

Una nuova APT appartenente alla “famiglia Duke” sta colpendo obiettivi di alto profilo tra cui il Dipartimento di Stato statunitense. Stiamo parlando di CozyDuke, nota anche come CozyBear, CozyCar o “Office Monkeys” per via dei video usati come esca.

L’attacco è molto sofisticato; include tecniche di crittografia e anti-rilevamento nonché una serie di componenti malware altamente progettati che mostrano alcune similitudini strutturali con alcune minacce precedenti come MiniDuke, CosmicDuke e Onion Duke.

Le scimmie sono pericolose… anche quelle in giacca e cravatta

Vale la pena menzionare che il metodo di penetrazione di questo attacco è interamente basato su tecniche di ingegneria sociale e sfortunatamente è un approccio che ha molto success negli attacchi mirati.

L’attacco funziona così: gli hacker inviano come esca un video divertente che ha come protagoniste alcune scimmie che lavorano in ufficio. Il file, che include un file eseguibile, viene inviato attraverso tecniche e-mail di spear-phishing, ovvero attraverso messaggi che contengono un allegato o un link che rimanda a un sito web molto conosciuto e legittimo, ma che è stato compromesso.

Mentre il video viene visualizzato, sul computer viene installato un dropper in un modo totalmente silenzioso. Questo programma dannoso invia al server di Command & Control informazioni sulla vittima implementando funzionalità aggiuntive necessarie per i criminali.

Questi non si sbagliavano quando pensavano che molti dei destinatari avrebbero visualizzato il video; in realtà non l’hanno solo visto, ma l’hanno anche condiviso con altri colleghi, il che ha contribuito molto alla diffusione del malware. Dato l’alto profilo dei target, il numero dei dati sensibili che si possono rubare è molto alto.

Quindi la domanda è: come possiamo ridurre i danni di questo terribile malware quando anche i nostri fedeli impiegati rappresentano una minaccia per la sicurezza dell’azienda? Sicuramente, in primo luogo, non dobbiamo sottovalutare la forza dell’ingegneria sociale: quale impiegato non clicherebbe su di un link inviatogli, per esempio, dal suo capo?

Come difendersi dalle “Office Monkeys”

Sono molte le misure di sicurezza o le strategie di riduzione dei rischi che possono funzionare efficacemente contro le APT più sofisticate e ben programmate. Per esempio, una semplice restrizione ai diritti di amministratore più una tempestiva riparazione delle vulnerabilità ed una riduzione del numero di applicazioni a cui può accedere, può ridurre fino ad un 85% gli incidenti connessi agli attacchi mirati.

Il Controllo Applicazioni di Kaspersky Lab con il Whitelisting Dinamico potrebbe essere una risorsa prezioza. Il video della scimmia, così come altri componenti malware di CozyDuke, non potrebbe avviarsi senza prima un’autorizzazione da parte dell’amministratore di sistema.

Alcuni impiegati amministrativi potrebbero avere una serie limitata di doveri e responsabilità pur inviando e gestendo tutta una serie di e-mail e file che contengono un numero molto alto di dati sensibili. In questo caso, forse l’idea migliore è attivare un modo di controllo sulle applicazioni basato sul Default Deny (Nega), limitando l’accesso solo a quei componenti e programmi di sistema assolutamente indispensabili per l’attività che deve svolgere l’impiegato.

Altre strategie molto utili, particolarmente appropriate nel caso di agenzie governative o aziende che hanno bisogno di un controllo severo, potrebbero includere:

  • Usare la tecnologia Web Control per restringere l’accesso solo alle risorse Web con permesso, limitando quelle che hanno accesso a file e programmi di lavoro (applicandolo almeno a certe categorie di siti).
  • Applicare un filtro alle e-mail in base al contenuto, così come offerto da Kaspersky Security for Exchange / Linux Mail, per escludere mail sospette e allegati (così come file), in base al ruolo svolto dal destinatario o alla sua anzialità nell’azienda.
  • Usare la tecnologia Device Control per evitare l’invio non richiesto di informazioni attraverso il perimetro di sicurezza da e verso il mondo esterno, o persino all’interno del perimetro. Allo stesso modo aiutare a prevenire la diffusione di malware, questo approccio può offrire protezione contro alcune forme di furto di dati intenzionali.
  • Offrire agli impiegati corsi di sicurezza informatica come quelli offerti da Kaspesky Lab (Security Intelligence Services). Questi training faranno aumentare la consapevolezza e la comprensione dei pericoli a cui si va incontro, persino quando gli impiegati si trovano seduti comodamente sulle loro poltrone. Questi corsi insegneranno loro come evitare tutti quei comportamenti o abitudini innocenti ma pericolose, o che possono persino costituire una minaccia per la sicurezza di un paese.

Pronti a ogni evenienza

Prima di un attacco, i creatori di una APT studieranno l’azienda scelta come obiettivo, tra cui l’immagine pubblica degli impiegati, i processi aziendali e le caratteristiche delle attuali soluzioni di sicurezza. Queste informazioni vengono usate per fare una valutazione sulle vulnerabilità ed eludere gli esistenti meccanismi di sicurezza.

Dunque, nel caso delle APT, è fondamentale adottare un approccio di sicurezza multi-stratificato, attivando nella soluzione anti-malware tutte le misure di sicurezza proattive affinché tutta la network IT sia al sicuro. Se farete tutto questo, diventerete un obiettivo poco attraente per qualsiasi APT.

Consigli