Trend Micro ha analizzato e documentato le attività anomale e potenzialmente nocive su scala globale che indicano come il gruppo di hacktivist Anonymous stia conducendo una serie di attacchi mirati contro l’industria petrolifera che culmineranno proprio oggi, 20 giugno 2013.
Anonymous ha rivelato che intende lanciare una serie di attacchi contro l’industria petrolifera nel mondo, con l’operazione dal nome in codice #OpPetrol, come risposta al fatto che il petrolio viene scambiato utilizzando come moneta il dollaro al posto della valuta del paese in cui è stato estratto.
Oggi si verificheranno la maggior parte degli attacchi e verrà resa pubblica la posizione del gruppo anche se la mobilitazione è già in corso da circa un mese.
Secondo Anonymous, circa 1.000 siti web, 35.000 credenziali di posta elettronica, e più di 100.000 account di Facebook sono stati compromessi durante l’operazione #OpPetrol. Trend Micro ha, scoperto, inoltre, che i sistemi compromessi (botnet) stanno già colpendo i siti web dei target individuati, probabilmente come azione parte di un attacco DDoS (distributed-denial-of-service).
Il malware che in particolare viene utilizzato per infettare direttamente i sistemi e attaccare gli obiettivi prefissati è un trojan backdoor noto come CYCBOT, che permette l’accesso non autorizzato e il controllo del computer violato. Dopo aver infettato un computer, il trojan si collega a specifici server remoti – noti come Command & Control (C&C) server – per ricevere dall’esterno i comandi dei cybercriminali. Il trojan permette a chi conduce l’attacco di eseguire le funzioni di backdoor, come il lancio di un attacco DDoS o il furto delle informazioni dal computer infetto. Inoltre, ancora più grave, questo trojan è in grado di disattivare i processi di sicurezza che sono in esecuzione sul sistema.
I ricercatori Trend Micro hanno scoperto che un numero significativo di siti web governativi in Kuwait, Qatar e Arabia Saudita – che erano nella lista degli obiettivi di #OpPetrol – sono già offline. Trend Micro consiglia alle organizzazioni di collaborare con i provider di servizi di telecomunicazione locali per monitorare e mitigare gli attacchi DDoS e cercare ogni possibile segno di intrusione o compromissione della rete monitorando le comunicazioni C&C all’interno del proprio network.
“Il panorama delle minacce IT si è profondamente evoluto – gli attacchi informatici ora sono mirati, su misura e persistenti”, spiega Richard Sheng, Sr. Director of Enterprise Security, Trend Micro Asia Pacific. “Mentre gli hacktivist rendono pubblica la loro campagna di attacchi, la maggior parte di cybercriminali e gruppi di spionaggio non lo fa e gli attacchi rischiano di passare inosservati ai sistemi di sicurezza tradizionali, come firewall, antivirus o sistemi di rilevamento delle intrusioni. Le organizzazioni devono essere consce del fatto che subiranno un attacco di questo tipo e ridefinire la loro sicurezza IT a partire da questa consapevolezza”.
Carenze dei sistemi di sicurezza convenzionali
• La difesa perimetrale tradizionale non è sufficiente. Avvalendosi delle tecniche di ingegneria sociale, gli attacchi di spear-phishing penetrano i perimetri delle organizzazioni e installano trojan backdoor all’interno della rete;
• Le soluzioni antivirus signature-based sono inutili contro i malware personalizzati, che vengono testati prima di entrare in azione;
• Lo sfruttamento delle vulnerabilità di sistema note o zero-day continuerà, perché chi conduce un attacco sa che le organizzazioni non sono in grado di rilasciare le patch abbastanza velocemente;
• Una volta all’interno della rete, agenti backdoor eludono il rilevamento, rubano le credenziali, stabiliscono ulteriori appigli ed eseguono la ricognizione della rete per individuare gli elementi di loro interesse.
Best Practice contro gli attacchi informatici mirati
Partendo dal presupposto che saranno attaccate, le aziende devono migliorare le capacità di rilevamento, che forniscono la visibilità sulle violazioni, e istituire un processo/piano di risposta agli attacchi che può rapidamente mitigare e ridurre al minimo l’impatto. Il tutto avvenire prestando attenzione ai seguenti passaggi:
Persone
• Educare i dipendenti sui rischi legati alla condivisione delle informazioni sul social network e come si associno alle tattiche degli attacchi di spear-phishing;
• Migliorare la capacità di analisi delle minacce e degli aspetti legali da parte dei team di sicurezza IT;
Processo
• Rimuovere i privilegi amministrativi per la maggior parte degli utenti finali;
• Bloccare immediatamente le vulnerabilità;
• Organizzare un piano di risposta e un apposito gruppo di lavoro;
• Centralizzare il monitoraggio degli eventi di sicurezza e dei log;
Tecnologia
• Rilevare e bloccare i tentativi di spear-phishing a livello perimetrale;
• Aumentare la visibilità delle comunicazioni C&C nella rete;
• Aggiungere funzionalità di schermatura delle vulnerabilità per i sistemi mission-critical;
• Abilitare sandbox personalizzabili per analizzare i malware zero-day creati ad hoc;
• Monitorare i sistemi strategici rispetto a modifiche non autorizzate con una analisi dell’integrità dei file.
Trend Micro Deep Discovery offre visibilità, analisi e controllo delle reti per la protezione dalle minacce mirate. Deep Discovery individua e identifica in modo univoco le minacce evasive in tempo reale e fornisce un’analisi della sandbox personalizzabile e un’intelligence appropriata per prevenire, scoprire e ridurre i rischi.
