Secondo gli esperti di Kaspersky Lab, gli attacchi di cyberspionaggio sponsorizzati dai governi stanno diventando sempre più sofisticati: prendono di mira utenti specifici con strumenti complessi e modulari e sono in grado di sfuggire a sistemi di rilevamento sempre più efficaci.
Questa nuova tendenza è stata confermata da una dettagliata analisi della piattaforma di cyberspionaggio EquationDrug. Gli esperti di Kaspersky Lab hanno rivelato che, in seguito al fatto che sono state scoperte un sempre maggior numero di gruppi APT (Advanced Persistent Threat) da parte delle aziende che si occupano di sicurezza IT, gli attori del cybercrimine hanno adottato come strategia quella di incrementare il numero dei componenti delle loro piattaforme nocive in modo da poter agire in assoluta segretezza e risultare meno visibili.
Le piattaforme di ultima generazione contengono molti moduli di plugin che permettono ai gruppi criminali di selezionare e eseguire una vasta gamma di funzioni, a seconda della vittima selezionata e delle informazioni in loro possesso. Secondo le stime di Kaspersky Lab EquationDrug include 116 diversi plugin.
“I governi coinvolti hanno come obiettivo quello di creare strumenti di cyberspionaggio che siano sempre più stabili, affidabili, universali e irrintracciabili. Si stanno concentrando sulla creazione di framework che nascondano questi codici in qualcosa che possa essere personalizzato su sistemi live e che fornisca un modo affidabile per archiviare tutti i componenti e le informazioni in modo criptato, inaccessibile da utenti meno esperti”, ha commentato Costin Raiu, Director of Global Research and Analysis Team di Kaspersky Lab. “La sofisticatezza del framework distingue questo genere di cybercriminali da tutti gli altri, che preferiscono concentrarsi sulle funzionalità di payload e su malware progettati per ottenere guadagni finanziari in modo diretto”.
Sono state evidenziate altre caratteristiche che contraddistinguono la strategia di questo tipo di criminali:
La scala. I cybercriminali tradizionali solitamente distribuiscono email di massa con allegati nocivi o infettano siti online su larga scala. La strategia utilizzata dai governi invece è quella di organizzare attacchi mirati condotti con precisione chirurgica che puntano ad infettare solo un numero selezionato di utenti.
L’approccio individuale. Mentre i criminali tradizionali usano codici sorgente già disponibili come quelli dei famigerati Trojan Zeus o Carberb, i governi creano malware unici e personalizzati e implementano persino le restrizioni che ne impediscono la decriptazione e l’esecuzione al di fuori del computer preso di mira.
L’estrazione di informazioni di valore. I cybercriminali puntano solitamente ad infettare il maggior numero di utenti possibile. Tuttavia, non hanno né il tempo e né la capacità di archiviazione sufficiente per controllare manualmente tutti i dispositivi infettati e di analizzare gli utenti, i dati archiviati e i software eseguiti per poi trasferire e registrare i dati che possono risultare utili.
Di conseguenza, progettano malware all-in-one che estraggono dai dispositivi delle vittime solo le informazioni di maggior valore, come password e codici delle carte di credito – attività che attira facilmente l’attenzione di qualsiasi software di sicurezza installato.
I criminali che agiscono per conto dei governi, al contrario, hanno le risorse per archiviare tutti i dati che desiderano. Per sfuggire ai software di sicurezza, non infettano utenti casuali ma si affidano a un generico tool di gestione del sistema da remoto in grado di copiare le informazioni necessarie, indipendentemente dalla loro dimensione. Tuttavia, questo sistema potrebbe essere controproducente, in quanto, traferire grandi quantità di dati potrebbe rallentare la connessione al network e far sorgere dei sospetti.
“Potrebbe sembrare strano che una piattaforma di cyberspionaggio potente come EquationDrug non offra all’interno del core del proprio malware tutte le possibilità di furto in modo standardizzato. Il motivo è che preferiscono realizzare attacchi personalizzati per ciascuna vittima. Solo nel caso in cui i criminali scelgono di monitorare attivamente le attività di un utente in particolare e solo quando i prodotti di sicurezza installati sul dispositivo della vittima sono disattivati, l’utente in questione riceverà un plugin che servirà a tracciare le sue conversazioni o a monitorare altre funzionalità specifiche legate alle sue attività. La modularità e la personalizzazione saranno sempre più le caratteristiche distintive degli attacchi sponsorizzati dai governi”, conclude Costin Raiu.
EquationDrug è la principale piattaforma di spionaggio sviluppata da Equation Group ed è stata utilizzata da questi gruppi criminali per più di una decade. Secondo le nostre indagini un’altra piattaforma più sofisticata, chiamata GrayFish, sta prendendo il suo posto. Le strategie confermate dall’analisi di EquationDrug, erano già state rilevate da Kaspersky Lab durante le indagini relative alle campagne di spionaggio di Careto e Regin.
I prodotti Kaspersky Lab hanno rilevato diversi tentativi di attacco rivolti ai loro utenti con exploit utilizzati nel malware di Equation Group. Molti di questi attacchi non hanno avuto successo grazie alla tecnologia Automatic Exploit Prevention, che rileva e blocca lo sfruttamento di vulnerabilità sconosciute. Il worm Fanny, presumibilmente scritto a luglio 2008 e incluso nella piattaforma di Equation Group è stato rilevato e registrato dai nostri sistemi automatici per la prima volta a dicembre 2008.
