Security Week 37: bug-bugzilla, il ritorno di Carbanak, C&C va a pesca

Nel nuovo capitolo della nostra serie esplosiva di notizie sulla sicurezza informatica troverete: Bugzilla, il ritorno di Carbanak e Turla che usa complicate tecniche di crittografia per nascondere i propri server.

Nel nuovo episodio della nostra serie esplosiva di notizie sulla sicurezza informatica:

  • La falla in Bugzilla ci ricorda l’importanza di creare password uniche e robuste;
  • La campagna Carbanak ha permesso ai cybercriminali di sottrarre milioni di dollari a organizzazioni economiche europee e statunitensi;
  • Una ricerca condotta da Kaspersky Lab ha individuato un metodo che rende molto difficile rintracciare i server C&C.

Ancora una volta, le regole di questi post: ogni settimana il nostro team editoriale di Threatpost ha selezionato tre notizie importanti che io mi occuperò di commentare.

La falla in Bugzilla, il database di bug

La notizia, FAQ sull’attacco

Nella serie della settimana scorsa, ho sollevato la questione se pubblicare informazioni desiderate/indesiderate sui bug riscontrati nei programmi. La falla nel bug tracker di Mozilla rappresenta l’esempio perfetto di quando è meglio non rendere pubblica una vulnerabilità.

È chiaro che il problema non è stato ancora risolto. Ad agosto, Mozilla ha pubblicato una patch per Firefox che ha risolto il bug presente nel PDF Viewer integrato. Il bug è stato scoperto da un utente vittima che ha informato della vulnerabilità. Il punto d’entrata era un banner creato ad hoc e che consentiva ai cybercriminali di rubare i dati personali degli utenti.

Che io sappia, quando gli sviluppatori preparano una patch, dovrebbero già essere a conoscenza del bug in questione. Bugzilla già comprendeva informazioni sul bug, anche se si trovava in una parte privata del sistema. I sospetti sono nati circa un accesso irregolare, sospetti che poi si sono rivelati fondati. Non si trattava di una “falla” in senso stretto: i cybercriminali hanno identificato un utente con accesso privilegiato, sono risaliti alla sua password mediante un altro database compromesso e poi hanno scoperto che corrispondeva alla password di Bugzilla.

I cybercriminali hanno accesso al database segreto dei bug dagli inizi di settembre del 2013. In tutto questo periodo, come fatto presente nelle FAQ sull’attacco(piuttosto minuziose dobbiamo dire), i cybercriminali hanno avuto accesso alle informazioni su 185  bug, 53 dei quali di una certa importanza. Quarantatré vulnerabilità della lista sono state risolte dopo che i cybercriminali hanno avuto accesso al database.

Dei rimanenti, le informazioni su due bug potrebbe essere filtrate circa una settimana prima della pubblicazione della patch; 5, in teoria, potrebbero essere stati utilizzati per una settimana o un mese prima che la patch fosse disponibile. Le tre vulnerabilità restanti potrebbero essere state sfruttart per 131, 157 e 335 giorni dalla pubblicazione della patch. E ora la notizia più importante sulla falla: gli sviluppatori di Mozilla non hanno prove che queste vulnerabilità siano state sfruttate in qualche modo. Su oltre 50 bug, si ha prova di solo un caso.

La morale della favola è facilmente deducibile, da mettersi su un palchetto e urlare: “Amici, fratelli e sorelle! Signore e signori! Utilizzate una password unica e diversa per ogni servizio!”. Tuttavia non è semplice come sembra: optare per una decisione del genere porta alla necessità di un password manager. Anche se lo utilizzate già, vi consigliamo di sedervi e di modificare ogni singola password di tutte le risorse che utilizzate frequentemente o, se proprio avete tempo, proprio di tutte. Dai nostri dati risulta che solo il 7% delle utenti si avvale di un password manager.

Nuove versioni di Carbanak attaccano Europa e USA

La notizia, La ricerca di febbraio condotta da Kaspersky Lab, Una nuova ricerca di CSIS.

Ritorniamo a quanto detto a febbraio sul “grande furto”:

“I cybercriminali sono riusciti a trasferire denaro sui propri conti bancari e a manipolare i bilanci per evitare robusti sistemi di sicurezza. Tutto sarebbe andato in porto se non fosse stato per i controlli dei sistemi interni delle banche. Dopo l’attacco i cybercriminali hanno impiegato varie tecniche per raccogliere informazioni sul funzionamento delle banche, registrazioni video comprese”.

Grazie alla collaborazione tra le varie forze dell’ordine si è scoperto che le banche, per colpa di un complesso attacco di Carbanak a più livelli, hanno perso un totale di un miliardo di dollari; si tratta, tra l’altro, di istituti bancari piuttosto importanti. Tutto ciò è accaduto a febbraio ma, alla fine di agosto, i ricercatori danesi di CSIS hanno scoperto una nuova versione di Carbanak.

Le differenze tra la vecchia e la nuova versione non sono così sostanziali: ricordiamo comunque l’uso di un indirizzo IP statico per le comunicazioni C&C al posto di un nome di dominio. Per quanto riguarda i plugin utilizzati per il furto di dati, sono gli stessi di febbraio.

Secondo quanto dice CSIS, la nuova versione di Carbanak colpisce grandi aziende europee e statunitensi.

APT Turla:come nascondere i server C&C con l’aiuto di Internet via satellite

La notizia. Altra notizia. La ricerca

Turla, la campaga APT di cyberspionaggio è stata analizzata da diversi ricercatori, compresi quelli di Kaspersky Lab. Lo scorso anno abbiamo pubblicato un report molto dettagliato sui metodi per entrare nei computer delle vittime, raccogliere dati e inviare ai server C&C.

Ogni fase di questa complessa campagna utilizza una serie di strumenti, tra cui strategie di spear phishing mediante documenti infetti che sfruttano vulnerabilità zero-days, siti Internet infetti, il mining di dati piò o meno complesso a seconda dell’obiettivo e la creazione di una rete avanzata di server C&C. Verso la fine di agosto, la campagna ha fatto centinaia di vittime in 45 paesi, soprattutto in Europa e Medio Oriente.

Questa settimana Stefan Tanase, ricercatore di Kaspersky Lab, ha pubblicato alcuni dai inerenti alla fase finale dell’attacco, ovvero quando i dati rubati vengono inviati a un server C&C. Turla, per abilitare il mining di dati (come altri gruppi APT nel passato), utilizza diversi metodi come il cosiddetto “abuse resistant hosting”. Non appena i dati in questione arrivano in un determinato C&C ospitato su un server in particolare, la probabilità di essere arrestati dalle forze dell’ordine grazie al blocco del provider del servizio è piuttosto alta, indipendentemente dai proxy adoperati dai cybercriminali.

È a questo punto che entra in gioco Internet via satellite. Il vantaggio di questa opzione è che il server si sposta continuamente, in base al raggio d’azione del satellite. Ma c’è un ma: per affittare un canale satellitare bidirezionale di una certa capacità bisogna sborsare tantissimo denaro; inoltre, grazie alla documentazione da fare per ottenere il noleggio del satellite, si è facilmente rintracciabili. Tuttavia, il metodo scoperto dal nostro ricercatore non richiede dover fare questo.

C’è un’operazione chiamata “satellite fishing”: un software leggermente modificato installato su un satellite non rifiuta pacchetti di dati impiegati da un utente in particolare, ma li raccoglie. I cybercriminali possono, cosi, ottenere dati di pagine Internet e file. Questo metodo funziona a una condizione, che il canale non sia criptato.

Turla utilizza questo stesso metodo ma con una piccola differenza: quando si appropria del traffico dati, il cybercriminale deve identificare l’indirizzo IP della vittima e fare in modo che i dispositivi compromessi inviino i dati all’IP appartenente all’ignaro proprietario del terminale satellitare.

Durante gli attacchi, gli hacker impiegano porte di comunicazione specifiche che sono chiuse di default nella maggior parte dei sistemi e che rifiutano i pacchetti di dati. Chi intercetta il traffico può appropriarsi di questi dati senza rivelare la propria ubicazione.

I vecchi telefoni radio non criptano assolutamente il traffico voce, dal momento che i dispositivi (che ricevono il segnale) in grado di operare a questo tipo di bande di frequenza sono piuttosto costosi. Per il momento, ben presto i ricevitori di tutte le bande saranno disponibili a prezzi più accessibili.

È un confronto un po’ azzardato, dal momento che il mining di dati di Turla e le soluzioni impiegati saranno costate almeno un paio di migliaia di dollari. Tuttavia, ciò che va considerato è che i sistemi Internet via satellite hanno una vulnerabilità interna sfruttata dai cybercriminali. E non è in programma al momento la soluzione di queste vulnerabilità.

Di conseguenza, l’ubicazione approssimativa del server C&C di Turla coincide con il raggio d’azione dell’operatore del satellite:

A partire da qui abbiamo perso le trace.

Cos’altro?

È stato individuato un altro ransomware Android che comunica con il server C&C via XMPP. Le chat e i servizi di messaggistica istantanea sono utilizzati da tempo dai malware per PC, tuttavia questa notizia dimostra che i malware mobile stanno seguendo lo stesso percorso dei malware per computer, solo a una velocità maggiore.

È stata pubblicata un’altra serie di patch per risolvere importanti vulnerabilità su Google Chrome (consigliamo di aggiornare immediatamente il browser e impostare V45).

Gli hard disk wireless contengono un paio di bug importanti, ovvero l’accesso non criptato via telntet e password hard-coded per l’accesso root.  Si tratta di un problema che abbiamo già affrontato settimana scorsa da un certo punto di vista a proposito dei router; morale della favola è che tutto ciò che si appoggia alla rete Wi-Fi deve essere adeguatamente protetto. E ricordiamo che, al giorno d’oggi, tutto va con Wi-Fi, persino le fotocamere.

Oldies

Manowar-273

Esiste un resident virus innocuo che di solito colpisce i file .COM e .EXE quando sono in uso (i file COMMAND.COM sono infettati dall’algoritmo di Lehigh). Il virus contiene la frase “Dark Lord, I summon thee! MANOWAR”.

Iron-Maiden

infosec-digest-32-book1

Non resident virus insidioso che infetta i file .COM del catalogo corrente. Come nell’agosto del 1990, a seconda della tempistica, può eliminare due settori random degli hard disk; il virus contiene il testo “IRON MAIDEN”.

Citazione da “Computer viruses in MS-DOS” di Eugene Kaspersky, 1992, p. 23.

Dichiarazione di non responsabilità: questo articolo riflette la persona opinione dell’autore. Può coincidere o no con la posizione di Kaspersky Lab.

 

Consigli