{"id":15157,"date":"2018-03-09T14:17:41","date_gmt":"2018-03-09T12:17:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15157"},"modified":"2019-11-22T11:06:34","modified_gmt":"2019-11-22T09:06:34","slug":"web-sas-2018-apt-announcement-2","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/web-sas-2018-apt-announcement-2\/15157\/","title":{"rendered":"APT Slingshot: Attenti a quell’ hardware Trojan!"},"content":{"rendered":"

Una delle rivelazioni pi\u00f9 interessanti dei nostri ricercatori al Kaspersky Security Analyst Summit<\/a> (SAS) di quest\u2019anno, \u00e8 stata una relazione su una campagna molto sofisticata di cyberspionaggio chiamata Slingshot. I suoi operatori perseguono obiettivi di cyberespionaggio e hanno attaccato soprattutto individui. Tuttavia, le aziende hanno qualcosa da imparare da questo caso; i cybercriminali commerciali potrebbero adottare tecniche simili e utilizzarle contro le societ\u00e0.<\/p>\n\n

Vettore di attacco<\/h3>\n

La prima parte da capire \u00e8 il mezzo dell\u2019 infezione. Ci\u00f2 che rende unico questo vettore di attacco iniziale \u00e8 che, secondo la nostra ricerca, molte vittime sono state attaccate dopo l\u2019installazione di router compromessi realizzati da MikroTik. Gli aggressori hanno trovato un modo per compromettere i dispositivi e trasformarli in hardware Trojan horses (cavalli di Troia). Hanno sfruttato l\u2019utilit\u00e0 di configurazione dei router, portandoli a scaricare ed eseguire diversi file DLL direttamente dal router, uno dei quali era un downloader per vari file dannosi, che erano anche conservati nel router.<\/p>\n

A questo punto dobbiamo aggiungere che noi abbiamo segnalato questo problema al produttore del router e MikroTik ha gi\u00e0 affrontato questo problema. Tuttavia, i nostri esperti ritengono che MikroTik non sia l\u2019unico marchio utilizzato dagli operatori di Slingshot \u2013 potrebbero esserci altri dispositivi compromessi.<\/p>\n

Un altro aspetto interessante di Slingshot \u00e8 un trucco che usa per eseguire malware in modalit\u00e0 kernel. Nei sistemi operativi aggiornati, questo era quasi impossibile \u2013 non c\u2019era abbastanza vulnerabilit\u00e0 \u2013 ma questo malware prima scaricava i driver vulnerabili firmati<\/em> e solo allora eseguiva il proprio codice.<\/p>\n

Strumenti dannosi<\/h3>\n

Tra i malware utilizzati da Slingshot, c\u2019erano due capolavori: un modulo in modalit\u00e0 kernel chiamato Cahnadr e GollumApp, un modulo in modalit\u00e0 utente.<\/p>\n

Funzionando in modalit\u00e0 kernel, Cahnadr offre agli aggressori il controllo completo, senza limitazioni, sul computer infetto. Inoltre, a differenza della maggior parte del malware che tenta di funzionare in modalit\u00e0 kernel, pu\u00f2 eseguire il codice senza danneggiare il file system o causare una schermata blu. Il secondo programma, GollumApp, \u00e8 ancora pi\u00f9 sofisticato. Contiene circa 1.500 funzioni del codice utente.<\/p>\n

Grazie a questi moduli, Slingshot pu\u00f2 raccogliere schermate, dati della tastiera, dati di rete, password, altre attivit\u00e0 del desktop, appunti e molto altro ancora. E tutto senza sfruttare alcuna vulnerabilit\u00e0 zero-day. Almeno, i nostri esperti non hanno ancora scoperto Slingshot ad usarle.<\/p>\n

Meccanismo antidetection (anti-rivelamento)<\/h3>\n

Ci\u00f2 che rende Slingshot davvero pericoloso sono i numerosi trucchi che i suoi operatori usano per evitare il rilevamento. Pu\u00f2 persino arrestare i suoi componenti quando rileva segni che potrebbero indicare ricerche forensi. Inoltre, Slingshot utilizza il proprio file system crittografato, in una parte non utilizzata di un disco rigido. Potete trovare maggiori dettagli riguardo Slingshot su Securelist<\/a>.<\/p>\n

Come far fronte ad APT come Slingshot<\/h3>\n

Se utilizzate un router MikroTik e un software di gestione WinBox, scaricate l\u2019ultima versione del programma e assicuratevi che il router sia stato aggiornato all\u2019ultima versione del suo sistema operativo. Tuttavia, gli aggiornamenti vi salvano da un solo vettore di attacco, non dall\u2019APT stesso.<\/p>\n

Per proteggere la vostra azienda da attacchi mirati e sofisticati, dovete adottare un approccio strategico. Noi offriamo Threat Management and Defense platform<\/em> (la piattaforma di gestione e di difesa delle minacce). \u00c8 costituita dalla piattaforma Kaspersky Anti Targeted Attack, dalla nostra nuova soluzione Kaspersky Endpoint Detection and Response e dai servizi degli esperti.<\/p>\n

Kaspersky Anti Targeted Attack vi consente di individuare anomalie nel traffico di rete, di isolare processi sospetti e di cercare correlazioni tra gli eventi. Kaspersky Endpoint Detection and Response serve per aggregare e visualizzare i dati raccolti. E, grazie ai servizi dei nostri esperti, \u00e8 possibile ricevere assistenza in qualsiasi momento in caso di incidenti particolarmente difficili, addestrare il vostro personale del centro di monitoraggio e aumentare la consapevolezza dei dipendenti dell\u2019azienda in generale. Trovate maggiori dettagli su questa soluzione qui.<\/u><\/p>\n","protected":false},"excerpt":{"rendered":"

I nostri esperti analizzano una delle pi\u00f9 sofisticate campagne APT che abbiamo mai visto<\/p>\n","protected":false},"author":700,"featured_media":15158,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2646,592,736,925,2766,1363,2767,2765],"class_list":{"0":"post-15157","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-thesas2018","10":"tag-apt","11":"tag-router","12":"tag-sas","13":"tag-sas2018","14":"tag-security-analyst-summit","15":"tag-slingshot","16":"tag-the-sas-2018"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/web-sas-2018-apt-announcement-2\/15157\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/web-sas-2018-apt-announcement-2\/10561\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/web-sas-2018-apt-announcement-2\/14873\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/web-sas-2018-apt-announcement-2\/19874\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/web-sas-2018-apt-announcement-2\/21514\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/web-sas-2018-apt-announcement-2\/9067\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/web-sas-2018-apt-announcement-2\/19855\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/web-sas-2018-apt-announcement-2\/19787\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/web-sas-2018-apt-announcement-2\/19813\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/thesas2018\/","name":"#TheSAS2018"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=15157"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15157\/revisions"}],"predecessor-version":[{"id":18665,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15157\/revisions\/18665"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/15158"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=15157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=15157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=15157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}