Carbanak: il "furto del secolo"

Era cominciato tutto con gli assalti alla diligenza, proseguiti poi con le rapire alle banche di Bonnie e Clyde. Successivamente arrivarono i ladri creativi di Ocean's Eleven che, con le loro azioni sfrontate, misero a segno il colpo del secolo al casinò di Willy Bank.  

Era il 2007 e la tecnologia si è evoluta parecchio da allora: inutile dire che anche i modi di truffare si sono aggiornati! 

E' proprio di questo che parliamo oggi: era il 2013, quando a Kiev, un bancomat di una banca inizia a dispensare banconote in modo apparentemente casuale durante la giornata, senza che nessuno abbia interagito con lo sportello automatico. Le videocamere di sorveglianza mostrano quelli che sembrano essere fortunati passanti, trovatisi con una buona dose di "fortuna" nel posto giusto al momento giusto, raccogliere le banconote generosamente elargite da una qualche divinità elettronica temporaneamente di buon umore.

Questo episodio è in realtà è solo la punta dell'iceberg di un sofisticato attacco informatico avvenuto tramite un malware, Carbanak, che ha permesso ad un gruppo criminale, composto da Europei, Russi e Cinesi, di mettere a segno quello che passerà probabilmente alla storia come il più grande furto bancario dell'era digitale, avvenuto senza gli abituali tratti distintivi che caratterizzano le rapine.

Sul caso è stata chiamata ad indagare la società di sicurezza Kaspersky Lab, che ha rilasciato in anteprima un resoconto della propria indagine (omettendo ovviamente tutte le informazioni sensibili, come i nomi degli istituti bancari e finanziari coinvolti) al New York Times.

Secondo la società di sicurezza sono state attaccate in questo modo oltre 100 tra banche ed istituti finanziari in 30 diversi Paesi.

Ancor difficile, per ora, quantificare il bottino: vi sono prove di un furto di circa 300 milioni di dollari, ma il malloppo complessivo potrebbe essere addirittura il triplo di quanto computato fino ad ora. La quantificazione potrebbe essere più ardua che mai, dal momento che i furti sono stati numerosi, distribuiti e di vario ammontare, spesso con somme relativamente modeste per evitare di innescare sistemi di controllo e verifica automatizzati.

Un attacco che è iniziato come molti altri. I criminali hanno inviato alle vittime designate, in questo caso gli impiegati degli istituti colpiti, mail infette nascondendosi dietro un mittente "amico" della vittima. Quando l'impiegato della banca ha aperto l'email, ha scaricato inavvertitamente un malware che ha permesso ai criminali di battere a tappeto la rete delle varie banche fino all'individuazione degli impiegati responsabili dell'amministrazione del sistema di trasferimento fondi e dei dispensatori automatici.

A questo punto gli hacker hanno installato un RAT (remote access tool) in grado di catturare screenshot e video dei computer degli impiegati.

L'obiettivo era imitare il loro modus operandi. In questo modo tutto sarebbe apparso come una transazione ordinaria

ha osservato Sergey Golovanov, che ha condotto l'indagine per Kaspersky Lab.

I criminali hanno quindi investito molto tempo per imparare le modalità proprie di ciascun istituto bancario aprendo nel frattempo conti bancari fantocci in USA e Cina che fungessero da destinazione per i trasferimenti.

Secondo alcune informazioni pare che i conti siano stati aperti presso J.P.Morgan Chase e Agricultural Bank of China, ma nessuno dei due istituti ha voluto rilasciare alcuna dichiarazione.

Dopo un periodo di tempo dai due ai quattro mesi, i criminali hanno deciso di monetizzare il proprio "investimento", percorrendo molte strade: in alcuni casi sono stati sfruttati i sistemi di online banking per trasferire soldi sui loro conti, in altri casi hanno forzato il dispensatore automatico delle banche a distribuire soldi che sarebbero poi stati raccolti da un complice in attesa.

Le somme più consistenti sono però state sottratte penetrando il sistema dei conti di una banca e manipolando velocemente i bilanci dei conti. Usando le credenziali di accesso ottenute impersonando i funzionari della banca, i criminali gonfiavano artificiosamente il saldo di un conto per poi effettuare il trasferimento di fondi voluto: da 1000 a 10000 dollari ad esempio, per trasferirne 9000 al di fuori della banca. In questo modo il titolare del conto non sospetta alcun problema e la banca può impiegare molto tempo prima di accorgersi del raggiro.

Abbiamo scoperto che molte banche effettuano un controllo sui conti solamente ogni 10 ore, quindi nel frattempo è possibile cambiare numeri e trasferire soldi

ha spiegato Golovanov.

Una tecnica con un tasso di successo impressionante: un istituto bancario ha perso 7,3 milioni di dollari tramite un solo prelevamento ATM, mentre in un altro caso 10 milioni di dollari sono stati sottratti sfruttando il sistema dei conti. Il responsabile di Kaspersky North America, Chris Dogget, ha osservato:

E' il più sofisticato attacco che il mondo abbia visto fino ad ora in termini di tattiche e metodi usati dai cybercriminali per restare nascosti.

I principali bersagli del colpo sono stati in Russia, Giappone, USA ed Europa. Sebbene nessuna banca si sia fatta avanti nel notificare il furto, l'FS-ISAC (il consorzio di settore che a livello globale condivide informazioni sul minacce fisiche e digitali nei confronti di banche ed istituti bancari) ha dichiarato in un comunicato di avere avvertito i propri membri di questa attività criminale.

Il silenzio attorno alla vicenda può essere in qualche modo motivato dall'usuale riluttanza delle banche a diffondere informazioni e notizie sulla violazione dei propri sistemi e in parte per il fatto che gli attacchi sembrano essere ancora in corso.

Alla luce di tutto ciò, diteci, siamo sicuri che gli uomini del team Ocean si fossero cimentati in un piano poi così ambizioso? 

Leggi l'intero articolo

Rootpipe e WireLurker attaccano Apple

Sei un fedelissimo della Mela morsicata e pensi, da sempre, di poterti considerare al sicuro da malaware e virus di sorta? 

Vi capita mai di sbeffeggiare i vostri amici, possessori di PC con OS Microsoft, lamentando il fatto che sia un colabrodo?

Ebbene, questo articolo non vi farà di certo gioire, e vi farà ravvedere circa le vostre baldanzose dichiarazioni. 

Nel campo degli smatphone e dei tablet, la minaccia si chiama WireLurker. Questo è il nome del primo malware in grado di aggirare le tante restrizioni e limitazioni di iOS che lo rendono così inoppugnabile dall'esterno, e punta soprattutto al mercato cinese.

Il software malevolo è stato scoperto da Palo Alto Networks, società di sicurezza della Silicon Valley che sostiene che il bug viene trasmesso via USB, una volta che si collega l'iDevice ad un sistema Mac OS X infetto.

La vulnerabilità ha origine su Maiyadi App Store, uno store virtuale cinese di terze parti disponibile come applicazione per Mac che consente l'installazione di app su dispositivi iOS, anche non jailbroken. La società di sicurezza informatica ha specificato che negli ultimi sei mesi le 467 applicazioni infette dal virus presenti sullo store sono state scaricate oltre 356 mila volte in Cina, e potrebbero aver violato centinaia di migliaia di dispositivi.

iPhone e iPad potrebbero essere colpiti dal malware dopo essere stati collegati via USB ad un sistema Mac infetto:

WireLurker controlla costantamente su un computer Mac OS X le connessioni via USB con dispositivi iOS ed installa su queste applicazioni di terze parti precedentemente scaricate o applicazioni malevoli generate automaticamente, anche se sul terminale non è stato effettuato il jailbreak

ha dichiarato Palo Alto Networks.

Generalmente, gli utenti iOS possono scaricare applicazioni da store terzi solamente dopo aver applicato una modifica software, ma con Maiyadi App Store e WireLurker, un'applicazione infetta può essere installata su iPhone e iPad via USB ed attraverso un sistema Mac OS X anche senza aver applicato il jailbreak.

Una volta infetto un dispositivo iOS con WireLurker, chi attacca può avere a disposizione i messaggi di testo, la rubrica o gestire altri aspetti del dispositivo da remoto.

Non sono ancora chiare le finalità dei creatori di WireLurker o se ci siano state effettivamente perdite di dati da parte degli utenti. Ryan Olson, direttore di Palo Alto Networks ha osservato sull'argomento: 

Anche se è la prima volta che questo accade, si tratta di una dimostrazione per eventuali utenti malintenzionati, che vengono a conoscenza di un nuovo metodo per aggirare le dure protezioni che Apple ha costruito intorno ai dispositivi iOS.

È tuttavia estremamente difficile che un dispositivo iOS venga attaccato dal nuovo malware, soprattutto per noi utenti occidentali (come del resto spesso capita anche con le vulnerabilità su Android).

Apple vieta espressamente l'uso di fonti terze per il download e l'installazione di app di terze parti, ed obbliga gli utenti ad affidarsi al solo App Store ufficiale installato nativamente su ogni dispositivo (o da iTunes).

Secondo Business Insider, la società è già consapevole del problema e ha prontamente bloccato le app identificate, consigliando agli utenti di "scaricare ed installare software solamente da fonti affidabili".

Anche i possessori di Mac, non si devono sentire troppo sicuri, infatti, pochi giorni fa è stato portato alla luce Rootpipe, una vulnerabilità di Mac OS X attiva anche su Yosemite, su cui Apple sta attualmente lavorando per fornire un fix.

In occasione dell' Øredev Developer Conference di Malmo, in Svezia, il ricercatore di sicurezza Emil Kvarnhammar di TrueSec ha dato dimostrazione di una vulnerabilità che affligge i sistemi operativi Mac OS X dalla versione 10.8.5 a 10.10 (il recente Yosemite) e in grado di portare alla scalata dei privilegi con conseguenze potenzialmente dannose.

Il ricercatore ha comunicato quanto scoperto ad Apple già due settimane fa e ha stretto un accordo per non rivelare pubblicamente alcun dettaglio sul funzionamento della vulnerabilità fino al prossimo gennaio, permettendo così alla Mela e ai suoi utenti di disporre del tempo necessario per risolvere il problema prima che questa vulnerabilità possa essere sfruttata a scopi dolosi.

Denominata "Rootpipe", la falla permette ad un software che opera sotto un account con i privilegi di amministratore di ottenere l'accesso root tramite il comando "sudo" senza che sia necessaria l'autenticazione. Di norma un utente amministratore non può ottenere le autorizzazioni di root tramite il comando sudo a meno di reinserire la propria password. Questo meccanismo potrebbe essere usato da un malware per installarsi senza richiedere la password di admin, con le ovvie possibili conseguenze spiacevoli.

Fino a quando la falla Rootpipe non verrà risolta, gli utenti Mac possono cercare di aggirare il problema utilizzando il sistema con un account non-admin, che tra l'altro è un consiglio precauzionale che dovrebbe essere sempre tenuto presente per limitare eventuali problemi.

Perché un account utente senza diritti di admin possa eseguire determinate operazioni, come l'installazione di driver o di software che richiede l'accesso a livello di sistema, dovrà sempre autenticarsi e autorizzare l'operazione con un account admin separato.

Leggi l'intero articolo

Dragonfly minaccia le aziende energetiche

È stata denominata operazione Dragonfly e prende il nome dal gruppo di hacker che l'hanno compiuta a partire dal febbraio del 2013.

Ecco di cosa parleremo oggi, cercheremo di capirci di più, a proposito della scoperta fatta dagli esperti di Symantec.

Si tratterebbe di un'organizzazione criminale che, aveva come obiettivo i principali colossi energetici di tutti i continenti, comprese alcune compagnie italiane.

Se la guerra come l'abbiamo studiata sui libri (dalle Guerre persiane ai due conflitti mondiali, ecc.) è mutata nel tempo, fino a trasformarsi in Guerra fredda, con URSS e USA a farla da padrone, ora le strategie belliche hanno raggiunto una nuova frontiera. Ancora più subdola e strategica, la Cyber-war, non si disputa più sul campo, si combatte in rete, colpendo i punti nevralgici e le risorse di uno o più Paesi.

Come già anticipato, il target di riferimento dei Dragonfly  era costituito da aziende a vario titolo impegnate nel settore energetico; ciò che ancora non sapevamo è che, queste ultime, sono state fatte oggetto di attacchi di phishing mirati.

Il messaggio email inviato proveniva da un indirizzo di Gmail e come allegato aveva un file .PDF realizzato appositamente per infettare il PC remoto con il codice di Oldrea, un trojan che permetteva così di portare l'attacco a una fase successiva.

Con Oldrea sul sistema remoto c'era la possibilità per Dragonfly di entrare in contatto con un server C&C attraverso il quale era possibile aggiornare il malware, cambiare la payload e condurre altre azioni. Oltre a questo trojan Dragonfly ha fatto uso anche di Karagany, un malware di tipo simile a Oldrea e disponibile da anni nell'underground del web.

Pare che Dragonfly abbia modificato il codice di Karagany per i propri scopi.

Anche attraverso azioni di watering fall, il codice malevolo è stato portato sui sistemi delle vittime: in questo caso Dragonfly ha compromesso alcuni portali utilizzati dagli utenti, riuscendo così a trasferire su PC client il malware.

Nel tempo, Dragonfly ha affiancato all'utilizzo dei due malware appena indicati e alle azioni di watering fall, un ulteriore sistema. Siamo infatti a maggio 2013 quando Dragonfly è stata in grado di compromettere i server utilizzati da varie software house per distribuire i propri prodotti e relativi aggiornamenti: anche in questo caso si tratta di software tipicamente utilizzati da aziende impegnate nel ramo energetico. A questo punto, è davvero evidente che al centro dei progetti Dragonfly, c'erano proprio le Società energetiche.

Tutto questo lavoro, cos'ha portato nelle tasche di Dragonfly? Pare proprio che, secondo il report di Symantec, ad interessare ai cracker erano le credenziali di accesso ai vari sistemi informatici e alcuni file di setup, per gli impianti di distribuzione energetica. Sono quindi informazioni delicate e si va ben oltre al semplice fine dimostrativo: infatti, questo materiale potrebbe essere rivenduto, o riutilizzato per ulteriori azioni.

Chi sono i cracker alle spalle di Dragonfly? Attualmente non è ben chiara la loro identità, ma secondo alcune evidenze che Symantec ha voluto condividere, analizzando il codice malware si è notato che la sua creazione è riconducibile al fuso orario di Mosca e, dettaglio non di poco conto, le attività venivano condotte in giorni e orari lavorativi. Si potrebbe, quindi, ipotizzare che, chi ha orchestrato Dragonfly (oppure chi è stato incaricato/pagato per fare un'operazione simile) abbia operato dalla Russia.

Per ammissione di Symantec stessa le modalità di azione con cui è stata condotta Dragonfly assomigliano ad altre attività malevole organizzate ai danni di enti governativi. Pare si sia trattato di un'operazione di spionaggio industriale a tutti gli effetti: le informazioni trafugate al momento attuale non sono ancora state usate per eventuali azioni di sabotaggio, ma non è detto che tali dati possano essere riutilizzati in futuro.

Da parte degli esperti di sicurezza c'è il forte sospetto di trovarsi di fronte a un'azione le cui motivazioni siano di origine geopolitica. Stiamo infatti parlando della Russia e le cronache degli ultimi mesi descrivono uno scenario geopolitico molto complesso nel quale, ad esempio, il comparto energetico è decisamente strategico.

Ricordiamo che la Russia è uno dei principali fornitori di gas di mezza Europa (e forse più), è nel bel mezzo di una lotta di potere con l'Ucraina e ha deciso qualche giorno fa, di adottare i chip Baikal, sostituendo quelli attualmente installati (Intel) sui 700 mila personal computer degli organi di governo e delle imprese statali, per scongiurare le minacce e le insidie sulla privacy poste in essere dalla National Security Agency.

Sempre dalla Russia arrivano i fratelli Nikolai e Pavel Durov, che con il loro Telegram stanno insediando il fortunato (e subito agguantato da Facebook) whatsapp. L'ennesimo gesto di forza, di una nazione che non ci sta ad essere seconda a nessuno.

Tornando alla Cyber-war, Symantec ha condiviso le proprie informazioni con altri colossi della sicurezza: infatti, in casi come Dragonfly esiste un vero e proprio network tra le aziende che serve a diffondere in tempi rapidi tutti i dettagli delle minacce. Gli utenti oggetto di questo tipo di attacco sono ora protetti e Symantec al momento attuale continua a monitorare la situazione per rilevare eventuali evoluzioni. Dopo aver garantito la sicurezza delle infrastrutture è però necessario che le autorità di polizia facciano il proprio lavoro di indagine, e a tal fine sono stati informati tutti i CERT (computer emergency response team) coinvolti.

Symantec non divulga i nomi delle aziende coinvolte, ma c'è un dato che deve invitare all'attenzione anche per il nostro Paese: l'8% degli attacchi condotti da Dragonfly hanno coinvolto aziende italiane impegnate nel campo energetico. Nella classifica stilata dagli esperti si posizionano davanti a noi Spagna, USA e Francia.

Non è la prima azione di cybercrime clamorosa, infatti, nel 2006 è stata l volta di Stuxnet: un virus informatico creato e appositamente diffuso dal governo degli Stati Uniti, nell'ambito dell'operazione "Giochi Olimpici" iniziata da Bush nel 2006 e che consisteva in un "ondata" di "attacchi digitali" contro l'Iran, in collaborazione col governo Israeliano nella centrale nucleare iraniana di Natanz, allo scopo di sabotare la centrifuga della centrale tramite l'esecuzione di specifici comandi da inviarsi all'hardware di controllo industriale, responsabile della velocità di rotazione delle turbine, allo scopo di danneggiarle.

Nel caso di Dragonfly lo scenario è ben diverso: il target non è circoscritto come per Stuxnet e ha coinvolto aziende di tutto il pianeta. In questo caso, inoltre, ci si è fermati all'azione di spionaggio senza portare a termine atti di sabotaggio vero e proprio.

Siamo sicuri di poter stare tranquilli? La risposta è evidente.

Leggi l'intero articolo