www.MegaLab.it

La maggior parte delle minacce provenienti dalla rete non sono indirizzate a colpire un singolo bersaglio ma, piuttosto, a compromettere quanti più calcolatori possibile, indipendentemente che si tratti di un PC domestico usato per giocare o del notebook di un professionista.

Attacchi come quello chiamato "Operazione Aurora" rivolti a Google sono invece di tutt'altro tipo: sono mirati, e portati con precisione chirurgica contro bersagli ben specifici.

Dell'argomento ha parlato Stefan Tanase, Senior Security Researcher in forze al gruppo Kaspersky Lab

Tanase ha ribadito che si tratta di un approccio sostanzialmente differente ed ha paragonato senza mezzi termini i normali virus a volgari "borseggiatori", mentre gli attacchi mirati costituiscono ladri professionisti a tutti gli effetti.

Gli scopi sono differenti: mentre le prime minacce sono realizzate per sottrarre denaro agli utenti oppure garantirsi l'accesso alle risorse dei loro PC, gli attacchi mirati hanno come obbiettivo lo spionaggio industriale e, in alcuni casi, addirittura il sabotaggio delle linee di produzione a cui accennava Eugene Kaspersky ieri.

L'esperto ha illustrato quindi le varie fasi che portano ad un'aggressione mirata. Si parte dall'identificazione del bersaglio e di un canale per accedervi: Facebook e gli altri siti di social networking facilitano moltissimo il lavoro dei cracker, poiché rendono disponibili molte informazioni riservate in punti di click (o addirittura "di API", come dimostrato di recente).

La cyber-gang passa poi alla creazione del malware e della strategia migliore per colpire, molto spesso basata su ingegnosi trucchi di ingegneria sociale.

Una volta dentro, si passa all'azione: il furto dei dati dai sistemi via Internet o la modifica di alcuni parametri critici sembrerebbero essere le operazioni più quotate dai sabotatori digitali.

L'intervento ha trattato poi nello specifico il malware chiamato Stuxnet, ovvero quello impiegato qualche mese addietro in combinazione alla falla delle chiavette USB per intrufolarsi nei sistemi Siemens SCADA impiegati presso gli stabilimenti di produzione per il controllo delle procedure automatiche.

Stuxnet, ha spiegato Tanase, è tutto tranne che il lavoro di un ragazzino rinchiuso in uno scantinato: piuttosto, i Lab si sono trovati davanti ad un codice malevolo estremamente articolato, in grado di sfruttare ben 4 vulnerabilità completamente sconosciute fino ad allora (0-day) per propagarsi.

Il tutto, sommato al fatto che il virus è stato firmato digitalmente con certificati sottratti ad aziende leader del settore come Realtek e JMicron, lasciano pensare ad un gruppo estremamente ben organizzato e dotato di risorse economiche non indifferenti, forse addirituttra sotto contatto ad un qualche governo nazionale.

Il reale obbiettivo dei cracker alle spalle di Stuxnet rimane tutt'ora ignoto e, probabilmente, rimarà tale: è altamente improbabile infatti che le aziende compromesse si facciano avanti segnalando il tipo di danni e furti che hanno subito, a causa dei risvolti negativi che questo potrebbe avere sui rispettivi marchi.

Certo è, invece, che i danni potrebbero essere stati notevoli in caso, esemplifica l'oratore, ad essere compromesso fosse stato un impianto di depurazione idrica oppure una centrale energetica.

La presentazione completa è liberamente scaricabile da qui.