Hacker in trappola

Il Kaspersky Lab ha scoperto una rete di spionaggio i cui creatori tengono sotto osservazione organizzazioni diplomatiche, governative e scientifiche in diversi Paesi: è quanto dichiarato in un comunicato della società. La rete scoperta è stata battezzata "Ottobre Rosso" ed è possibile che dei programmisti russi siano coinvolti nella sua creazione.

Le azioni dei cyber-criminali erano volte a ottenere informazioni confidenziali e dati che consentivano l'accesso ai sistemi informatici, ai dispositivi mobili personali e alle reti aziendali, ma anche a raccogliere informazioni di carattere geopolitico. Gli autori dell'attacco hanno rivolto la loro attenzione soprattutto alla Russia e alle repubbliche dell'ex Urss, ai Paesi dell'Europa orientale, ma anche a una serie di Stati dell'Asia Centrale.    

Nell'ottobre 2012 gli esperti di Kaspersky Lab avevano iniziato a studiare una serie di attacchi alle reti informatiche di alcune rappresentanze diplomatiche internazionali. Nel corso delle indagini su questi incidenti gli specialisti hanno scoperto un'imponente rete di cyber-spionaggio: analizzandola, gli esperti sono giunti alla conclusione che l'operazione "Ottobre Rosso" è iniziata nel 2007 e continua ancora oggi.

"La nostra indagine è iniziata dopo aver ricevuto dei file da uno dei nostri partner, che ci ha chiesto di rimanere anonimo. Ben presto abbiamo capito di avere a che fare con una delle più estese reti di spionaggio informatico che avessimo mai incontrato", ha dichiarato a CNews uno dei maggiori esperti di Kaspersky Lab, Vitalij Kamljuk. "La quantità e la varietà dei codici nocivi di questa operazione è semplicemente incredibile: oltre 1000 file unici e 34 tipi diversi di moduli. Per giunta, riteniamo di avere accesso solo a una parte del quadro completo, che in realtà è enormemente più vasto". 

Gli analisti di Kaspersky Lab hanno stimato che in cinque anni gli autori degli attacchi hanno infettato circa trecento computer e dispositivi mobili e hanno sottratto centinaia di terabyte di informazioni, utilizzando oltre 60 nomi di dominio. Secondo i dati degli esperti, i domini si trovavano su server intermedi, prevalentemente con indirizzi Ip russi e tedeschi.  La posizione del server principale rimane sconosciuta.

Le parole e i termini gergali russi contenuti nel testo dei moduli dei virus lasciano supporre che il codice sia stato scritto da programmisti russi, ma gli esperti di Kaspersky Lab non sono riusciti a stabilire l'appartenenza e lo scopo finale dei pirati informatici.

Ai malintenzionati non interessavano solo funzionari e diplomatici: sono stati infettati anche i computer di organizzazioni scientifiche, commerciali e militari e di aziende che operano nel campo nucleare, aerospaziale e degli idrocarburi. Gli hacker hanno sottratto, dai sistemi infetti, informazioni contenute in file di vari formati.

Tra gli altri, gli esperti hanno trovato dei file con l'estensione "acid*", che ne testimonia la provenienza dal software classificato Acid Cryptofiler, utilizzato da una serie di organizzazioni che fanno parte dell'Unione Europea e della Nato. Kaspersky Lab preferisce non rivelare da quali organizzazioni siano stati trafugati i dati, finché l'inchiesta non sarà conclusa. 

I virus sono stati diffusi principalmente via posta elettronica: per ciascuna vittima è stata preparata una lettera con un oggetto in grado di suscitare l'interesse dell'intestatario di quel particolare account di posta, ha osservato Vitalij Kamljuk in un'intervista a Vedomosti. Per esempio, la vendita di un'auto diplomatica. Nell'e-mail si celava un apposito trojan, per la cui installazione le lettere contenevano degli exploit che sfruttavano le vulnerabilità di Microsoft Office. Questi exploit erano stati creati da altri pirati informatici ed erano già stati usati in passato in vari attacchi, sia contro gli attivisti tibetani che contro i settori militari ed energetici di vari Stati dell'Asia.

Kaspersky Lab, tra le caratteristiche salienti del software utilizzato dai pirati informatici, segnala la presenza di un modulo in grado di "resuscitare" le macchine infette. Il modulo si inserisce come plug-in in Adobe Reader e in Microsoft Office e permette agli aggressori di accedere nuovamente al sistema nel caso in cui il malware principale sia stato individuato ed eliminato, o qualora il sistema sia stato aggiornato. Inoltre, permette di sottrarre dati anche dai dispositivi mobili.  

L'indagine di Kaspersky Lab continua in collaborazione con le organizzazioni internazionali, con gli organismi di sicurezza e le squadre nazionali di risposta agli incidenti informatici (Computer Emergency Response Teams, Cert).

"Negli ultimi cinque anni le operazioni di spionaggio informatico si sono evolute, trasformandosi da singoli attacchi che sfruttavano una singola, particolare vulnerabilità in sistemi di proporzioni industriali", dichiara Maksim Emm, direttore esecutivo di Peak Systems, al giornale Vedomosti.  

"Per ottenere delle informazioni, gli attacchi mirati non si usano quasi più: i computer da colpire (per esempio, nei Ministeri) vengono preventivamente inficiati e poi l'accesso alle macchine viene venduto dai possessori delle Bot-Net (reti di computer infetti)", spiega Emm. 

"Difendersi da questi attacchi è possibile, servendosi contemporaneamente di strumenti tecnologici come l'installazione di programmi antivirus (sapere quale antivirus usa la vittima aiuta gli aggressori a non farsi scoprire), e di accorgimenti organizzativi come il divieto di aprire link e allegati delle e-mail che provengono da mittenti sconosciuti o il divieto di utilizzare gli stessi hard disk esterni nelle reti interne ed esterne", spiega Kamljuk.

"La probabilità di un'intrusione è minore quanti più sono i livelli del sistema di sicurezza informatica dell'organizzazione: gli aggiornamenti dei programmi vengono installati per tempo, non sono presenti software di provenienza non controllata, sono installati i programmi antivirus, e infine i computer che contengono informazioni riservate sono fisicamente separati da quelli connessi alla rete Internet", aggiunge Emm.

Tutti i diritti riservati da Rossiyskaya Gazeta