SATORI, “il risveglio” delle botnet e le altre sfide del 2018 per la cyber security

(di Ciro Metaggiata)
08/01/18

Capire quali saranno le più importanti tendenze per l’anno appena inaugurato in tema di cyber security, non è certo cosa semplice. Consultando i report delle aziende di sicurezza informatica più note, infatti, si rischia di perdersi tra la moltitudine di minacce indicate quali “emergenti” per il 2018. In breve, non esiste un settore della dimensione cyber in cui non sia segnalata una minaccia in grado di mettere a repentaglio la sicurezza dei sistemi e delle informazioni di aziende, istituzioni e semplici utenti. Alcune di esse, tuttavia, hanno attirato la mia attenzione in quanto, senza avere la presunzione di compiere previsioni per il prosieguo dell’anno, ritengo che faranno parlare di sé nei prossimi mesi. Ad esempio, la botnet battezzata Satori (“il risveglio”, secondo il buddismo zen), una nuova e ancora più pericolosa variante di una minaccia cibernetica già “esplosa” nel 2016 (Mirai), che si è improvvisamente “risvegliata” dilagando nel web come mai è stato osservato prima.

In particolare, nel quadro del predetto fosco quadro previsionale, mi riferisco a quattro tipologie di cyber minacce: i ransomware utilizzati per fini “distruttivi”, le botnet orientate all’Internet of Things (IoT), come la citata Satori, gli attacchi alle supply chain e quelli legati alla diffusione delle cosiddette crypto currency. Ognuna di queste presenta, a mio modesto avviso, alcuni aspetti che la rendono unica e di prevedibile diffusione nel corso 2018. Certamente non saranno le sole a mietere “vittime”, tuttavia sono del parere che meritino un’attenzione particolare.

I ransomware sono utilizzati ormai da svariati anni dai gruppi di cyber criminali, al fine di estorcere denaro ai malcapitati utenti, alle aziende o alle istituzioni. Il meccanismo di attacco è semplice e noto da tempo, tuttavia negli ultimi mesi si sono osservati mutamenti sia nelle tattiche utilizzate sia negli obiettivi, che fanno presagire, purtroppo, nuove tendenze per il 2018. In generale, i gruppi criminali utilizzano molteplici tecniche volte a impiantare nei dispositivi i malware, appositamente progettati per renderli inutilizzabili. L’unico modo per rientrare in possesso dei computer e delle informazioni in essi contenuti, consiste nel pagamento di un riscatto, generalmente in cripto valute, seguendo specifiche istruzioni. Ciò che si è riscontrato nel 2017 circa questa minaccia, sono due novità principali: la sempre maggiore sofisticatezza dei malware impiegati e, in alcuni casi, la finalità non strettamente legata al denaro. Nello specifico, gli attuali ransomware riescono a sfruttare le vulnerabilità più gravi dei sistemi operativi, degli applicativi e dei protocolli di comunicazione, in modo da potersi diffondere autonomamente sia nelle reti domestiche sia in quelle aziendali. In sintesi, un solo PC infettato con tali malware, è in grado di mettere a repentaglio la sicurezza dell’intera rete in cui è ubicato. Inoltre, le varianti di tali software malevoli sono generate così rapidamente, che i prodotti di sicurezza hanno spesso difficoltà a individuarle. Ma la novità più importante, già tracciata in un articolo pubblicato in precedenza (v. articolo), è un’altra: pare che alcuni attacchi ransomware non siano stati concepiti per ottenere denaro da parte delle “vittime” quanto, piuttosto, allo scopo di causare gravi ripercussioni negative alle attività che esse svolgono e, nella maggior parte dei casi, sembra che l’obiettivo sia stato raggiunto pienamente. Probabilmente, ciò è dovuto anche alla spregiudicatezza degli autori dei citati attacchi, conseguenza diretta delle note lacune giuridiche che caratterizzano il mondo cyber, con buona pace della Casa Bianca, che recentemente ha accusato la Corea del Nord di essere l’artefice dei pesanti danni provocati dal ransomware WannaCryptor (v. articolo). Sarà una dunque tendenza anche per il 2018? Tutto fa pensare in tal senso, in quanto nella maggior parte dei casi gli attacchi ransomware di tipo “classico” hanno perso la propria efficacia: tutte le aziende di sicurezza, infatti, in caso si cada vittime di tali attacchi, consigliano di non pagare il riscatto e di attendere che il metodo di decifratura e di “sblocco” dei sistemi venga reso noto (in genere accade nel giro di qualche settimana o pochi mesi). Perciò, un numero sempre minore di utenti cade nel tranello e i criminali incassano sempre meno. In definitiva, sia nel caso che l’obiettivo sia quello di fare soldi, senza grosse pretese sia che si intenda causare danni, i ransomware faranno comunque al caso dei malintenzionati, anche per quest’anno.

Allo stesso modo, neanche il fenomeno delle botnet rappresenta una novità assoluta (v.articolo). Le reti virtuali costituite da computer in cui è stato impiantato lo stesso malware, al fine di acquisirne il controllo a insaputa degli utenti, hanno fatto la comparsa nella dimensione cyber ormai molto tempo fa. Tuttavia, anche in questo caso si sta assistendo a una evoluzione del fenomeno non ancora del tutto consolidata. Nello specifico, con lo “scoppio” di Mirai (v.articolo) è apparsa chiara tutta la fragilità della sicurezza del cosiddetto IoT, ossia l’insieme di tutti quei dispositivi, più o meno sofisticati, collegati a Internet. Nel caso delle botnet create con Mirai, in particolare, sono state “arruolate” illecitamente decine di migliaia di dispositivi, allo scopo di realizzare attacchi mirati ad alcuni nodi del sistema Domain Name System (DNS). In estrema sintesi, tali dispositivi sono stati riprogrammati allo scopo di interagire, tutti contemporaneamente, con i citati nodi DNS, in maniera da sovraccaricarne i server e rendere così “irraggiungibili” decine di siti web. Come era prevedibile, in seguito, Mirai ha dato origine a diverse varianti di questa tipologia di attacco, tra cui “Satori” (anche conosciuta come Okiru), che può essere considerata un valido indicatore della tendenza in atto. Sembra che tale variante di Mirai, scoperta poche settimane fa, sfrutti principalmente alcune vulnerabilità della sicurezza di specifici modelli di router, tra cui una particolarmente seria e sconosciuta prima d'oggi. Una volta impiantato il malware grazie a tali falle di sicurezza, i router rispondono ai comandi impartiti dal server di Comando e Controllo utilizzato dall’attaccante (di cui ancora non si conoscono le generalità) per dirigere l’operazione. Non solo, ancorché non siano stati ancora scoperti tutti i particolari del funzionamento di Satori, sembra chiaro che ogni dispositivo “infettato” scandagli Internet, alla ricerca di propri “simili” da includere nella botnet. Fortunatamente questa rete clandestina è stata scoperta prima di diventare operativa, mentre si stava ancora espandendo, quindi adesso si sta correndo ai ripari aggiornando i modelli di router coinvolti. Altrimenti sarebbe stato un serio problema, in quanto pare che anche Satori, come nel caso di Mirai, sia stata concepita per lanciare attacchi del tipo Distributed Denial of Service (DDoS), volti a interrompere il normale funzionamento di qualche servizio on line o sito web. Considerando che la botnet, prima di essere scoperta, si stava espandendo in modo esponenziale, si stima che ben pochi sistemi di sicurezza avrebbero potuto fronteggiare un attacco lanciato da Satori. Quindi, gli aspetti interessanti di questa minaccia sono almeno due: la citata velocità vertiginosa di espansione della rete clandestina e la relativa semplicità con cui è stata avviata e condotta l’intera operazione. Tale ultimo aspetto è forse il più sconcertante. Infatti, dalle prime indagini sarebbe emerso che la botnet potrebbe essere stata concepita da un individuo o da un gruppo criminale non particolarmente tecnicamente esperto, in quanto è stato appurato che avrebbe appreso molte informazioni frequentando alcuni forum utilizzati dagli hacker. Non è ancora chiaro, tuttavia, come e da chi sia stata realmente scoperta la vulnerabilità di sicurezza più grave dei router coinvolti. Scoperta la falla e trovato il rimedio, c’è da giurare, in ogni caso, che in questi giorni qualcuno sia alla ricerca di altri punti deboli dell’IoT. Pertanto, anche da questo punto di vista, tutto fa pensare che ci aspetterà un anno difficile.

Come se non bastasse, alcune società di sicurezza informatica ci mettono in guardia rispetto agli attacchi del tipo supply chain, particolarmente insidiosi poiché difficili da rilevare e destinati a diventare sempre più comuni. In breve, per il mantenimento in funzione di qualsiasi sistema informatico, o generico sistema che possiede sottosistemi informatici, si ricorre quasi sempre ai servizi forniti da terze parti (la cosiddetta supply chain), che sono potenzialmente soggetti alle minacce per la cyber security. Quello della sicurezza delle supply chain, quindi, è un aspetto che coinvolge praticamente ogni dispositivo elettronico che utilizziamo quotidianamente. Un semplice esempio: uno smartphone fornito da un certo produttore, costruito con componenti, a partire dal microprocessore, fornite da altre società. Esso, inoltre, utilizza un sistema operativo, fornito a volte da un’ulteriore azienda, che sovrintende il funzionamento e la sicurezza sia del telefono sia delle App sviluppate da altre ditte/entità ancora. Bene, ogni componente hardware e software del dispositivo potrebbe essere compromessa in un momento qualsiasi del proprio ciclo di vita (assemblaggio, spedizione, manutenzione, download di un aggiornamento, ecc.), mediante un attacco alla supply chain. Questo tipo di minaccia, non nuovo ma spesso sottovalutato, a causa dei costi e dell’organizzazione che sono necessari per porlo in atto, per il momento resta appannaggio esclusivo dei servizi di intelligence e fino a poco tempo fa era assai poco frequente. Nel corso del 2017, tuttavia, si sono registrati almeno tre episodi di attacco alle supply chain, tra cui quello emblematico al software CCleaner, associato all’antivirus della società Avast. Mesi fa, il codice sorgente di tale prodotto è stato modificato all’insaputa del produttore, dopodiché è stato reso disponibile sul canale ufficiale di distribuzione per quasi un mese ed è stato scaricato da parte di migliaia di utenti. Nello specifico, la versione del CCleaner compromessa, conteneva codice malware volto a carpire le informazioni personali e le credenziali degli ignari utenti. D’altronde, la stessa tecnica è stata utilizzata anche per diffondere NotPetya in una particolare area geografica (l’Ucraina - v. articolo): il ransomware, in quel caso, è stato celato nell’aggiornamento di un software particolarmente diffuso tra le aziende di tale regione e rilasciato appositamente per bloccarne le attività, causando danni soprattutto economici. Non solo, questa tipologia di attacchi può rappresentare un pericolo concreto anche per le Forze Armate. Difatti, se per un attimo ci si sofferma a considerare quanti sistemi, da quelli d’arma più sofisticati a quelli informativo-gestionali usati per le attività quotidiane, dipendono da servizi forniti da ditte terze (per riparazioni, manutenzioni, aggiornamenti, installazioni, ecc.), si può realizzare facilmente quanto essi siano esposti dalla minaccia appena citata. Non a caso, la tematica è presa sempre più sul serio da parte delle Forze Armate di molti Paesi quali, ad esempio, gli USA, che ormai considerano il controllo e la sicurezza delle supply chain, anche da punto di vista cyber, un elemento imprescindibile.

Infine, da qualche mese a questa parte si sta assistendo alla diffusione, sempre più estesa, delle cosiddette crypto currency o cripto valute o, ancora, valute virtuali. Le dirette conseguenze di tale fenomeno sono la forte crescita degli episodi di furti di tali valute (v.articolo) e l’esplosione della “corsa all’oro del XXI° secolo”, per la quale sempre più individui si stanno attrezzando per “estrarre” in proprio le cripto monete.

Semplificando all’estremo e tralasciando gli aspetti del funzionamento delle blockchain, le monete virtuali, infatti, consistono in file cifrati, ottenuti grazie a calcoli molto impegnativi anche per i computer. Ottenere questi file, quindi, non è affatto semplice, tanto da richiedere hardware specificatamente progettato per tale esigenza, dotato di capacità di calcolo estreme ma anche molto costoso, anche dal punto di vista energetico. Pertanto, si sta diffondendo un modo alternativo per “estrarre” le cripto monete, neanche a dirlo, illecito: sfruttare in maniera fraudolenta la capacità di calcolo dei computer degli utenti di Internet. La nuova tendenza, osservata da alcune società di cyber security, è proprio quella dei cosiddetti crypto miner illegali, ossia malware che infettano i PC degli utenti, al fine di riprogrammarli per “estrarre” le cripto monete cooperando tra loro in rete. È stato rilevato, inoltre, che la minaccia corre anche su siti web modificati illecitamente. In tal caso, i miner colpiscono senza che sia installato alcun malware, semplicemente attraverso il browser. Le conseguenze per gli utenti che incappano in tali metodi illegali sono facilmente intuibili: oltre a una bolletta energetica più salata del normale (è stato calcolato che un PC, mentre effettua crypto mining, consuma fino a cinque volte più del normale) i computer, se non particolarmente performanti, diventano praticamente inservibili fino, in molti casi, a danneggiarsi irreparabilmente. C’è da giurare che la corsa all’oro cibernetico non farà sconti a nessuno, perciò anche questa minaccia è destinata a funestare il cyber-spazio nel prossimo futuro.

Buon anno nuovo!

Principali fonti:

https://www.globalsecuritymag.com/McAfee-Labs-Previews-Five,20171204,75496.html

http://www.silicon.co.uk/security/cyberwar/satori-enlists-263000-bots-225757?inf_by=5a4cf252671db8124c8b4878

https://blog.fortinet.com/2017/12/12/rise-of-one-more-mirai-worm-variant

https://securelist.com/ksb-threat-predictions-for-2018/83169/

https://irishinfosecnews.wordpress.com/2017/12/22/huawei-router-vulnerability-used-to-spread-mirai-variant/

http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/

https://www.kaspersky.com/blog/mining-easy-explanation/17768/

https://www.kaspersky.it/blog/web-miners-protection/14859/

http://cyberdefensereview.army.mil/The-Journal/Article-Display/Article/1136092/safeguarding-the-united-states-militarys-cyber-supply-chain/

http://formiche.net/2017/12/19/corea-del-nord-dietro-il-malware-wannacry/

https://www.enisa.europa.eu/publications/info-notes/supply-chain-attacks

https://www.cips.org/supply-management/news/2017/april/largest-ever-cyber-espionage-campaign-targeted-it-contractors/

https://www.afcea.org/committees/cyber/documents/Supplychain_000.pdf

http://www.lastampa.it/2017/09/19/tecnologia/news/violato-ccleaner-milioni-di-pc-a-rischio-tH5lRAo2dsgzNVJtBvZA5L/pagina.html