Evoluzione delle minacce informatiche nel terzo trimestre del 2013

Transcript

1 Evoluzione delle minacce informatiche nel terzo trimestre del 2013 Christian Funk Maria Garnaeva Victor Chebyshev Il trimestre in cifre... 2 Il quadro della situazione... 2 Attacchi mirati / APT... 2 NetTraveler: nuovi trucchi e sotterfugi... 2 Icefog... 3 Kimsuky... 4 Le "storie" di sicurezza IT più significative del trimestre... 5 Arrestato l'autore del kit di exploit Blackhole... 6 Emersa nuova botnet formata da router... 6 Sicurezza web e fughe di dati... 7 Attacco a Vodafone Germania... 7 Hackerato il portale degli sviluppatori Apple... 7 Piratati domini di particolare rilevanza... 8 Il malware mobile... 8 Le novità «presentate» dai virus writer... 8 Master Keys: le vulnerabilità critiche per la piattaforma Android che consentono alle applicazioni di eludere i controlli di integrità Le statistiche Le statistiche Le minacce in Internet Oggetti infetti rilevati in Internet Paesi dalle cui risorse web sono stati più frequentemente condotti attacchi informatici nei confronti degli utenti... 18

2 Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet Minacce informatiche locali Oggetti nocivi rilevati nei computer degli utenti Paesi nei quali i computer degli utenti sono risultati sottoposti al rischio più elevato di infezioni informatiche locali Il trimestre in cifre Secondo i dati raccolti tramite il Kaspersky Security Network (KSN), nel corso del terzo trimestre del 2013 i prodotti di Kaspersky Lab hanno rilevato e neutralizzato oggetti nocivi. Le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben attacchi condotti attraverso siti Internet compromessi, dislocati in vari paesi. Nell'arco del terzo trimestre del 2013 le nostre soluzioni antivirus hanno bloccato tentativi di infezione locale sui computer degli utenti facenti parte della rete globale di sicurezza Kaspersky Security Network. E' interessante infine rilevare come il 45,2% degli attacchi web bloccati e neutralizzati grazie all'intervento dei nostri prodotti antivirus sia stato condotto attraverso siti web nocivi dislocati sul territorio di Stati Uniti e Russia. Il quadro della situazione Attacchi mirati / APT NetTraveler: nuovi trucchi e sotterfugi Nel trimestre oggetto del presente report i ricercatori di Kaspersky Lab hanno individuato un nuovo vettore di attacco utilizzato nell'ambito dell'estesa campagna di cyber-spionaggio denominata NetTraveler. Nella fattispecie, con tale termine si identifica una famiglia di programmi nocivi utilizzati da sofisticati attori del malware globale, operanti a livello di attacchi APT (Advanced Persistent Threat, minacce informatiche di natura avanzata e persistente). Il nostro team di esperti ha rilevato come la minaccia IT in questione abbia già infettato centinaia di vittime di alto profilo, dislocate in oltre 40 diversi paesi. Gli attacchi informatici sinora individuati - condotti dall omonimo gruppo classificato con l'appellativo di NetTraveler - hanno riguardato attivisti tibetani e uiguri, società operanti nel settore dell'industria petrolifera, centri di ricerca ed istituti scientifici, università, imprese private, governi ed istituzioni governative, ambasciate ed aziende fornitrici di equipaggiamenti militari. Non appena, nel mese di giugno 2013, l'operazione NetTraveler è stata resa di pubblico dominio, gli "attaccanti" hanno immediatamente provveduto a chiudere tutti i centri ed i sistemi di comando e controllo conosciuti, attivati sino a quel momento, per poi trasferire gli stessi su nuovi server, ubicati rispettivamente in Cina, Hong Kong e Taiwan. Gli attacchi informatici condotti nell'ambito della campagna di cyber-spionaggio globale NetTraveler sono

3 quindi continuati - in maniera apparentemente indisturbata - proprio dal territorio dei tre paesi dell'estremo Oriente sopra citati. In questi ultimi giorni, ad esempio, sono state inviate numerose di spear-phishing a vari attivisti uiguri. La patch necessaria per chiudere la vulnerabilità sfruttata dall'exploit Java utilizzato per distribuire questa nuova variante dell'apt Red Star è stata rilasciata solo di recente, nel mese di giugno 2013; il suddetto exploit ha quindi, tuttora, possibilità molto elevate di portare a termine con successo l'attività dannosa svolta. Ricordiamo, nella circostanza, come gli attacchi informatici precedenti, condotti tramite l'invio delle abituali e- mail di spear-phishing, sfruttassero invece due exploit Office (CVE e CVE ); le patch atte a "fissare" tali vulnerabilità sono state rilasciate da Microsoft nel mese di aprile scorso. Oltre all'utilizzo della suddetta tipologia di messaggi di posta nocivi, gli aggressori hanno fatto ricorso alla singolare tecnica di attacco denominata "watering hole" (basata, essenzialmente, sul web redirect ed il conseguente processo di drive-by download, eseguito attraverso domini compromessi dal malware), allo scopo di infettare i potenziali computer-vittima impegnati nella navigazione web. Kaspersky Lab ha intercettato e bloccato una serie di tentativi di infezione provenienti dal dominio weststock[dot]org, sito già conosciuto in quanto direttamente collegato ai precedenti attacchi informatici condotti nell'ambito della campagna di cyberspionaggio globale NetTraveler. I redirect in questione sembrano provenire da altri siti web correlati alla comunità uigura, compromessi ed infettati dagli aggressori informatici operanti all'interno del gruppo NetTraveler. Icefog Nel quadro dell'evoluzione delle minacce informatiche che hanno caratterizzato il terzo trimestre dell'anno in corso assume particolare rilevanza la scoperta, da parte degli esperti di Kaspersky Lab, di "Icefog", un gruppo APT di dimensioni contenute, tuttavia estremamente attivo nel torbido mondo delle Advanced Persistent Threats. Gli attaccanti in questione si concentrano su obiettivi situati nella Corea del Sud e in Giappone, colpendo, in particolar modo, le supply chain (catene di approvvigionamento) di aziende occidentali. La suddetta operazione di spionaggio informatico ha avuto già inizio nell'anno 2011 ed è considerevolmente cresciuta per dimensioni e relativo campo d'azione proprio nel corso di questi ultimi anni. Mentre nell'ambito della maggior parte delle altre campagne APT le vittime vengono abitualmente infettate per mesi - se non per anni interi - con gli aggressori intenti a carpire in continuazione preziosi dati sensibili, il team di Icefog si occupa delle proprie vittime in maniera singola e dedicata, individuando e copiando solo informazioni specifiche, ben mirate. Una volta che le informazioni desiderate sono state ottenute, la suddetta "gang" molla la presa. Gli aggressori compiono il furto di documenti sensibili e piani aziendali, carpiscono le credenziali degli account e le password necessarie per accedere a varie risorse presenti sia all'interno che all'esterno della rete informatica in cui opera la vittima designata. Nella maggior parte dei casi, sembra proprio che il piccolo, ma potente, gruppo di criminali informatici denominato Icefog sappia molto bene ciò che intende ottenere dalle proprie vittime. In effetti, il team di attaccanti in questione è specializzato nel ricercare nomi di file specifici, che, di solito, vengono rapidamente identificati, per poi essere immediatamente trasferiti al C&C (Command and Control Center). In base ai profili dei target specifici sinora individuati, i suddetti cybercriminali sembrano nutrire un particolare interesse nei confronti dei seguenti settori:

4 militare, costruzioni navali ed operazioni marittime, computer e sviluppo software, società di ricerca, operatori di telecomunicazioni, operatori satellitari, mass media e televisione. Nella circostanza, il team di ricercatori di Kaspersky Lab ha condotto operazioni di sinkhole su 13 degli oltre 70 domini utilizzati dal gruppo Icefog. Ciò ha permesso, tra l'altro, di ottenere preziosi dati statistici riguardo al numero delle vittime, nel mondo, della campagna di cyberspionaggio qui analizzata. Inoltre, i server di comando e controllo utilizzati dal team Icefog conservano abitualmente i log criptati delle vittime, unitamente ai dettagli relativi alle varie operazioni eseguite. Questi log si rivelano particolarmente utili per gli analisti, in quanto possono talvolta aiutare ad identificare i bersagli degli attacchi e, in alcuni casi, persino le vittime degli stessi. Oltre al Giappone e alla Corea del Sud, sono state osservate numerose connessioni sinkhole in altri paesi, incluso Taiwan, Hong Kong, Cina, USA, Australia, Canada, Regno Unito, Italia, Germania, Austria, Singapore, Bielorussia e Malesia. In totale, Kaspersky Lab ha rilevato più di indirizzi IP unici infettati e diverse centinaia di vittime (alcune decine di vittime Windows e più di 350 vittime Mac OS X). In base alla lista degli indirizzi IP utilizzati per monitorare e controllare le infrastrutture, gli esperti di Kaspersky Lab hanno osservato come alcuni degli "attori" che si celano dietro questa intensa e chirurgica operazione di spionaggio informatico abbiano sede in almeno tre diversi paesi: Cina, Corea del Sud e Giappone. Kimsuky Nello scorso mese di settembre, il security research team di Kaspersky Lab ha pubblicato un report interamente dedicato all'analisi di un'intensa campagna di cyber-spionaggio in corso di esecuzione, volta a colpire numerosi obiettivi sensibili situati nella Corea del Sud, in particolar modo think-tank e centri di studi e ricerca operanti nel paese dell'estremo Oriente. La campagna in questione, conosciuta con il nome di Kimsuky, si è in ogni caso rivelata essere limitata a target ben precisi. L'approfondita analisi condotta dai nostri esperti di sicurezza IT ha in effetti evidenziato come i cybercriminali fossero principalmente interessati ad 11 organizzazioni situate in Corea del Sud - e a due enti geograficamente ubicati in Cina - incluso il Sejong Institute, il Korea Institute For Defense Analyses (KIDA), il Ministero sud-coreano dell Unificazione, l'importante società di logistica marittima Hyundai Merchant Marine e l'associazione denominata Supporters of Korean Unification. I primi segnali di tale attività di spionaggio informatico risalgono al 3 aprile 2013; i primi sample di Trojan Kimsuky sono tuttavia comparsi sulla scena soltanto il 5 maggio dell'anno in corso. E' di particolare interesse osservare come questo singolare software di spionaggio, non particolarmente sofisticato, includa numerosi errori di codificazione, molto elementari, e gestisca le comunicazioni tra macchine infette attraverso un server di free bulgaro. Sebbene rimangano tuttora sconosciute le modalità attraverso le quali si è prodotta la prima infezione, i ricercatori di Kaspersky Lab sono convinti che il malware Kimsuky sia stato inizialmente distribuito, con ogni probabilità, attraverso le consuete di spear-phishing, ed abbia inoltre la capacità di condurre le seguenti attività di spionaggio: registrazione delle sequenze dei tasti premuti dall'utente, raccolta dell'elenco delle directory, accesso da remoto, furto di documenti in formato HWP (elaborati mediante

5 l'applicazione di word processing sud-coreana inserita nella suite Office sviluppata da Hancom, ampiamente utilizzata negli ambienti governativi locali). I cybercriminali che operano nel quadro della campagna di spionaggio Kimsuky si avvalgono di una versione modificata di TeamViewer, nota applicazione utilizzata per eseguire operazioni di controllo e accesso remoto; la versione contraffatta di tale software agisce, in sostanza, in qualità di backdoor, con il preciso intento di realizzare il furto di qualsiasi tipo di file custodito nelle macchine infette. Il malware Kimsuky contiene un programma nocivo dedicato, appositamente creato per sottrarre i file con estensione HWP; questo suggerisce, in maniera inequivocabile, come siano proprio tali documenti a costituire uno dei principali obiettivi del gruppo di cybercriminali in causa. Gli indizi progressivamente raccolti dagli esperti di Kaspersky Lab consentono di supporre che gli esecutori degli attacchi siano nord-coreani. Innanzitutto, è il profilo stesso degli obiettivi presi di mira a parlare da sé: si tratta, principalmente, di istituti universitari sud-coreani impegnati nel condurre importanti ricerche riguardo ad affari internazionali di primo piano e nell elaborare, di conseguenza, politiche di difesa per il governo stesso del paese; nel novero dei target rientrano inoltre, come abbiamo visto, una primaria società sud-coreana operante nel settore della logistica e del trasporto marittimo; completano infine il quadro i sostenitori del processo di riunificazione della penisola coreana. In secondo luogo, a livello di compilazione del codice, è stata rilevata una stringa di percorso contenente parole in lingua coreana (alcune di esse, ad esempio, potrebbero essere tradotte in italiano con i termini "attacco" e completamento ). In terzo luogo, due indirizzi iop110112@hotmail.com e rsh1213@hotmail.com ai quali i bot sono soliti inviare i report sullo status dell'operazione di spionaggio in corso, trasmettendo, al contempo, tramite appositi allegati, tutte le informazioni raccolte riguardo al sistema infettato, sono risultati riconducibili, a livello di parametri di registrazione, ai due nominativi qui di seguito indicati, i quali, per l'appunto, iniziano entrambi con la parola "kim": kimsukyang e Kim asdfa. Tali dati di registrazione non possono ovviamente fornire prove concrete riguardo agli effettivi responsabili degli assalti cybercriminali condotti nell'ambito della campagna Kimsuky; gli indirizzi IP sorgente degli attaccanti, invece, evidenziano un dettaglio molto importante, in quanto sembrano corrispondere al profilo esaminato: complessivamente, sono stati rilevati 10 indirizzi IP di origine, tutti situati, "fisicamente", in territorio cinese, nelle province di Jilin e Liaoning. Si ritiene, in effetti, che gli Internet Service Provider che forniscono l accesso alla Rete nelle suddette province della Repubblica Popolare Cinese, gestiscano ugualmente la manutenzione di infrastrutture informatiche che raggiungono alcune parti del territorio della Corea del Nord. Le "storie" di sicurezza IT più significative del trimestre

6 Arrestato l'autore del kit di exploit Blackhole Lo sviluppatore di Blackhole - virus writer meglio conosciuto con il nickname di "Paunch" - ed i suoi presunti collaboratori sono stati arrestati in Russia all'inizio del mese di ottobre Il famigerato Blackhole è stato, senza ombra di dubbio, l'exploit pack di maggior successo nel corso di questi ultimi anni. In genere, il kit Blackhole veniva "preso a noleggio" dai cybercriminali desiderosi di diffondere ogni genere di malware mediante la subdola tecnica del "drive-by download", il principale vettore di attacco utilizzato al momento attuale. Per infettare i potenziali computer-vittima, i criminali informatici disseminano in Rete e nella posta elettronica una miriade di link nocivi preposti a condurre gli ignari utenti verso siti web compromessi dal malware. Gli stessi exploit pack selezionano poi, di volta in volta, gli exploit in grado di generare il contagio informatico, a seconda della versione del software - ad esempio Flash, Java o Adobe Reader - installato nella macchina sottoposta ad attacco. Il caso riguardante l'arresto dei cybercriminali sopra menzionati può essere indubbiamente considerato uno degli episodi più significativi nella recente storia del malware; esso segue, di qualche mese, l'altrettanto eclatante arresto dei membri della nota gang di criminali informatici denominata Carberp, avvenuto nel periodo marzo-aprile dell'anno in corso. Mentre nel caso di Carberp il codice sorgente è stato, in seguito, reso pubblicamente disponibile, non è dato sapere, al momento, cosa ne sarà, in futuro, del suddetto kit di exploit. Forse Blackhole scomparirà del tutto dalla scena del malware; forse subentrerà, nella sua gestione, qualche altro cybercriminale, oppure, magari, in sua sostituzione, i cybercriminali inizieranno ad utilizzare altri exploit pack, altrettanto temibili. Emersa nuova botnet formata da router Nel mese di settembre di quest'anno la nota rivista online Heise ha pubblicato un interessante articolo nel quale si riferiva in merito alla scoperta di una nuova botnet composta esclusivamente da router. Come è noto, i router rappresentano la spina dorsale di ogni network domestico; infettando tali apparecchi si possono generare serie ripercussioni su ogni dispositivo ad essi collegato: PC, Mac, tablet, smartphone, persino sulle smart TV. Il bot in questione, denominato Linux/Flasher.A, è in grado di estrarre le credenziali di login trasmesse da qualsiasi dispositivo. L'infezione si produce attraverso una specifica vulnerabilità presente nel server web dei router che eseguono DD-WRT, un firmware open source appositamente sviluppato per gli apparecchi in questione. Nella circostanza, una particolare richiesta HTTP allestita ad hoc conduce all'esecuzione di codice arbitrario. Il "bottino" ricavato, in forma di credenziali di login carpite, viene poi trasferito ai server web compromessi. La vulnerabilità sfruttata dal bot Flasher.A risale all'anno 2009 e, sebbene tale falla di sicurezza sia stata immediatamente chiusa non appena individuata, al momento attuale, secondo Heise, esistono ancora più di dispositivi a rischio. Questo sta a dimostrare l'entità e la serietà della minaccia IT che può potenzialmente provenire dai router; in effetti, il firmware che li gestisce non viene quasi mai aggiornato dagli utenti. In tal modo questi ultimi divengono, loro malgrado, facili bersagli del malware ogni volta che vengono scoperte nuove vulnerabilità riconducibili alla suddetta tipologia. Per ulteriori informazioni sul malware appositamente creato per colpire i router, si prega di consultare l'articolo di Marta Janus, analista di Kaspersky Lab, riguardante Psyb0t, il primo malware per router individuato "in the wild".

7 Sicurezza web e fughe di dati Attacco a Vodafone Germania Verso la metà dello scorso mese di settembre, Vodafone Germania è stata vittima di un'ingente fuga di dati, causata da un violento attacco hacker ad uno dei server del noto operatore di telefonia mobile. Nella circostanza, i cybercriminali sono riusciti a copiare e trafugare i dati relativi a circa due milioni di clienti di Vodafone Germania. I record sottratti contenevano non soltanto nomi ed indirizzi, ma anche preziosi dati bancari (in primo luogo numeri di carte di credito), password e codici PIN. Vodafone ha ritenuto alquanto probabile che si sia potuto trattare del "lavoro" di una "talpa" operante all'interno dell'azienda, visto il considerevole volume dei dati carpiti, e certe indiscutibili "tracce" che sono state lasciate. In effetti, è stata rapidamente identificata una persona sospetta; al contempo, tuttavia, un gruppo di hacker, denominato Team_L4w, ha confessato di aver realizzato l'attacco, sostenendo che, nell'occasione, uno dei membri di tale gruppo si era servito di una chiavetta USB infetta per contagiare il computer di un dipendente Vodafone. La società tedesca ha poi provveduto ad informare per posta tutti i clienti colpiti dall'azione di hacking sopra descritta. Per garantire la massima trasparenza, Vodafone ha ugualmente allestito un apposito modulo web, tramite il quale i clienti avrebbero potuto controllare se i propri dati personali e bancari fossero stati effettivamente sottratti. Hackerato il portale degli sviluppatori Apple Nel mese di luglio 2013, la casa di Cupertino ha provveduto a disattivare per oltre tre settimane il portale specificamente dedicato agli sviluppatori Apple, dopo che un intruso era riuscito ad ottenere l'accesso alle informazioni personali degli sviluppatori registrati presso la suddetta risorsa web. Il 'chi ' e il 'come' dell'episodio di hacking in questione non sono stati ancora chiariti, in quanto pare che, per lo stesso, vi siano diverse possibili spiegazioni. In ogni caso, poco dopo che l'incidente è stato reso di pubblico dominio, un sedicente esperto di sicurezza IT ha pubblicato un video su YouTube, confessando di essere il responsabile dell'attacco. Egli sosteneva di aver copiato oltre record dai database Apple, che prometteva tuttavia di eliminare al più presto; nella circostanza, il presunto autore dell'azione di hacking affermava di aver sfruttato una vulnerabilità cross-site scripting individuata nel portale degli sviluppatori. L'hacker in causa, per fornire una prova concreta di quanto affermato, ha poi inviato a The Guardian 19 record (indirizzi ) relativi ad altrettante persone; il noto quotidiano britannico ha tuttavia immediatamente rilevato come alcuni degli indirizzi trasmessi non fossero validi ed altri, invece, fossero non operativi a tutti gli effetti. Ovviamente, questo solleva più di un dubbio riguardo all'attendibilità della confessione realizzata tramite YouTube. E' interessante osservare come, solo due giorni prima che Apple ponesse offline il proprio portale riservato agli sviluppatori, qualcuno avesse postato, sui forum Apache, un messaggio relativo alla scoperta di una nuova vulnerabilità. Nella circostanza, oltre ad illustrare vari dettagli in merito, questa persona ha reso disponibile al pubblico un exploit pienamente funzionante. Secondo quanto riferito da

8 un sito web cinese questo ha portato alla conduzione di numerosi attacchi su larga scala; nella fattispecie, quindi, Apple potrebbe essere stata una delle tante vittime colpite dai malintenzionati. Piratati domini di particolare rilevanza Abbiamo assistito, all'inizio del mese di ottobre, ad operazioni di defacement compiute su numerosi domini di particolare rilievo, incluso whatsapp.com, alexa.com, redtube.com e due società di primo piano operanti nel settore della sicurezza. Sembra che, invece di compromettere gli effettivi server web, gli aggressori - un gruppo denominato KDMS - abbiano optato per realizzare l'hijacking del DNS o dello stesso ente preposto alla registrazione dei domini. Tutti i domini violati sono risultati essere registrati presso la stessa organizzazione; peraltro, i domini in questione erano stati recentemente aggiornati, poco prima che si manifestasse il caso qui esposto. Secondo quanto riferito da Softpedia, l'isp dei siti web interessati era stato attaccato mediante l'invio, tramite , di richieste fasulle relative alla reimpostazione delle password. Una volta ottenuto il controllo del dominio mediante le nuove credenziali, il gruppo resosi responsabile dell'attacco aveva poi provveduto a modificare le relative entry, diffondendo in seguito dichiarazioni di natura politica. Il malware mobile Per ciò che riguarda la lotta condotta nei confronti dei software nocivi appositamente creati dai virus writer per infettare le piattaforme mobili, occorre innanzitutto sottolineare come il terzo trimestre del 2013 si sia rivelato un periodo particolarmente intenso, denso di significativi avvenimenti e, al tempo stesso, abbia presentato una notevole varietà di espedienti, trucchi e sotterfugi via via messi in atto dagli autori di virus per cercare di colpire i dispositivi mobili degli utenti. Le novità «presentate» dai virus writer Il periodo analizzato nel nostro consueto report trimestrale sull'evoluzione del malware può essere senza ombra di dubbio considerato come il trimestre delle botnet mobili. Coloro che si dilettano a sviluppare i Trojan-SMS in assoluto più diffusi nel panorama del malware mobile, da parte loro, stanno sempre più cercando di controllare in maniera interattiva le proprie "creature". Ad esempio, per esercitare il massimo controllo sui programmi bot da essi rilasciati, i virus writer hanno recentemente iniziato ad avvalersi di Google Cloud Messaging. Tale servizio permette di trasmettere al dispositivo mobile - attraverso i server di Google - messaggi dalle dimensioni contenute, in formato JSON; i malintenzionati hanno di fatto iniziato ad utilizzare il suddetto servizio in qualità di centro di controllo e comando (C&C) aggiuntivo per i propri Trojan. Non risulta affatto facile, per le soluzioni di sicurezza IT, poter individuare e quindi neutralizzare un simile processo interattivo. In effetti, è il sistema stesso che si occupa dell'elaborazione dei comandi ricevuti attraverso il servizio GCM; non si rivela pertanto possibile poter bloccare tali comandi direttamente sul dispositivo infettato dal malware. L'unico metodo per chiudere il suddetto canale di comunicazione - illecitamente utilizzato dai malintenzionati per interagire con i malware mobili di volta in volta dispiegati - consiste nel bloccare gli account di quegli sviluppatori i cui ID vengono utilizzati dai programmi nocivi al momento della registrazione al servizio Google Cloud Messaging.

9 Non esiste, attualmente, un elevato numero di programmi malware in grado di sfruttare il servizio GCM; la maggior parte di essi, tuttavia, sembra già godere di notevole popolarità presso gli ambienti cybercriminali. Inoltre, verso la metà del mese di giugno 2013, abbiamo individuato per la prima volta alcuni casi di utilizzo delle potenzialità offerte da botnet di terze parti al fine di realizzare la diffusione del malware mobile, botnet formate da dispositivi mobili infettati da altri software nocivi e gestite da altri gruppi di cybercriminali. In tal modo, ad esempio, è stata effettuata la distribuzione di Obad, un programma Trojan di notevole complessità, appositamente creato dagli autori di malware mobile per infettare i dispositivi provvisti di sistema operativo Android. La diffusione è avvenuta tramite apparecchi mobili contagiati dal programma nocivo Trojan-SMS.AndroidOS.Opfake.a. In effetti Opfake, su apposito comando ricevuto dal server C&C, inizia ad inviare a tutti i contatti dell'utente-vittima, attraverso il dispositivo infetto, messaggi SMS che propongono il download di un nuovo messaggio MMS. Se l'utente preso di mira, una volta ricevuto l'sms in questione, provvede a cliccare sul link presente nel messaggio, viene automaticamente generato - sul dispositivo mobile da egli utilizzato - il download dell insidioso malware denominato Backdoor.AndroidOS.Obad.a. Così come nel recente passato, i malware mobili attualmente in circolazione sono stati prevalentemente utilizzati dai cybercriminali per carpire illecitamente il denaro degli utenti della telefonia mobile. Nel corso del terzo trimestre dell'anno ha fatto la sua comparsa sul torbido scenario del malware mobile un software nocivo in grado di offrire ai malintenzionati la possibilità di realizzare non solo il furto delle somme di denaro presenti sugli account telefonici mobili, ma anche del denaro custodito sugli account bancari degli utenti-vittima. Il malware classificato come Trojan-SMS.AndroidOS.Svpeng.a, da noi intercettato nello scorso mese di luglio, dietro specifico comando impartito dagli autori di virus verifica se i numeri di telefono mobili presi di mira siano di fatto collegati a servizi di banking online offerti da istituti bancari russi. I nostri esperti hanno inoltre rilevato come una seconda variante del programma Trojan in causa contenesse, all'interno del proprio codice nocivo, funzionalità connesse all'effettuazione di tale verifica: In genere, tramite un telefono collegato al servizio «Mobil'nyj bank», gli utenti russi hanno l'opportunità di poter agevolmente effettuare ricariche su qualsiasi telefono cellulare, inviando un apposito SMS.

10 Questo permette ai malintenzionati di poter trasferire verso i propri numeri telefonici mobili le somme rese disponibili attraverso il servizio «Mobil'nyj bank», somme che vengono poi trasformate in contanti mediante il trasferimento delle stesse su account aperti presso il sistema di pagamento QIWI, servizio elettronico prevalentemente utilizzato nell'ambito della Federazione Russa e degli altri paesi facenti parte della Comunità degli Stati Indipendenti (CSI). Il malware denominato Trojan-SMS.AndroidOS.Svpeng.a impedisce, di fatto, la comunicazione tra l utente-vittima e la banca; in particolar modo, esso è in grado di intercettare proprio gli SMS e le chiamate provenienti da numeri telefonici appartenenti ad istituti bancari. Ne consegue che, per lungo tempo, la "vittima" non potrà neppure sospettare che dal proprio account bancario sia stato sottratto del denaro. Il danno economico subito dall'utente a seguito dell'attività dannosa condotta dai programmi Trojan riconducibili a tale specifica tipologia può essere di solito quantificato in alcune decine di migliaia di rubli (alcune migliaia di dollari). Rileviamo, infine, come stia acquisendo sempre maggiore popolarità lo sfruttamento, da parte dei malintenzionati, di determinate vulnerabilità individuate nel sistema operativo Android. Il malware mobile Svpeng.a - ad esempio - colloca una password del tutto inesistente su un data storage altrettanto inesistente, ed intercetta poi il dialogo relativo alla rimozione dei propri privilegi di DEVICE ADMINISTRATOR (Amministratore del Dispositivo), illecitamente ottenuti all'interno del sistema; in tal modo, risulta in pratica impossibile, per l'utente, poter eliminare per conto proprio l'applicazione nociva. I privilegi avanzati di DEVICE ADMINISTRATOR vengono utilizzati anche da altri malware mobili attualmente in circolazione; il risultato di tutto ciò è che tali software nocivi sono in grado di agire a lungo ed in maniera efficace sulla maggior parte delle versioni esistenti dell'os Android. Master Keys: le vulnerabilità critiche per la piattaforma Android che consentono alle applicazioni di eludere i controlli di integrità L'inizio del terzo trimestre dell'anno in corso è stato contrassegnato dalla scoperta di due vulnerabilità Android alquanto critiche, denominate entrambe con l'appellativo di Master Key. Tali vulnerabilità consentono di apportare modifiche ai componenti di un'applicazione, bypassando la firma crittografica della stessa, in maniera tale che il sistema operativo Android, di fatto, considererà il programma in questione del tutto legittimo, nonostante il nuovo contenuto introdotto, potenzialmente nocivo. Le due vulnerabilità qui esaminate sono sostanzialmente simili. La prima di esse è stata individuata nello scorso mese di febbraio dal team di ricercatori della Bluebox Security Company, per poi essere illustrata ancor più dettagliatamente da Jeff Forristal in occasione della conferenza BlackHat di Las Vegas. Secondo quanto affermato da Bluebox, la suddetta vulnerabilità risulta presente in tutte le versioni dell'os Android a partire dalla 1.6, e potrebbe pertanto interessare la quasi totalità dei dispositivi mobili rilasciati nel corso degli ultimi quattro anni. Come è noto, le applicazioni per la piattaforma mobile Android sono, in sostanza, dei file singoli provvisti di estensione.apk (Android Package). Di solito, i file APK sono archivi ZIP contenenti l'insieme delle risorse, le quali vengono compresse sotto forma di file dotati di nomi specifici (il vero e proprio codice dell'applicazione viene di solito custodito all'interno del file classes.dex). Di regola, ogni tentativo di avviare un file APK dal contenuto modificato viene sempre

11 bloccato nel momento stesso in cui viene eseguita l'installazione dell'applicazione sull'os Android. Il formato ZIP non esclude, di per se stesso, nomi di file duplicati; il fatto è che, in caso di risorse "duplicate", il sistema operativo Android condurrà le opportune verifiche - con esito positivo - su uno solo dei file doppi, mentre, al contempo, avvierà l'esecuzione dell'altro. Le informazioni relative alla seconda vulnerabilità critica in questione sono state pubblicate da esperti cinesi. Nella fattispecie, il problema è rappresentato dall'utilizzo simultaneo di due metodi di lettura e decompressione dei file APK, al pari di due diversi metodi di interpretazione forniti da Java e dal linguaggio C. Così come nel caso della prima vulnerabilità, descritta nel precedente paragrafo, a tale specifica metodologia di infezione può essere sottoposto qualsiasi file dispiegato per interferire con il funzionamento del sistema. E' di particolare rilevanza osservare che un pre-requisito fondamentale per la riuscita di un attacco del genere è rappresentato dalla lunghezza del file classes.dex originale, che non deve superare i 64 kilobyte, mentre tale specifica condizione non viene generalmente soddisfatta dalla maggior parte delle applicazioni sviluppate per la piattaforma Android. Per maggiori informazioni, si prega di consultare, attraverso il presente link, il blogpost correlato, redatto da Stefano Ortolani. Le statistiche Così come nel trimestre precedente, anche nel periodo qui analizzato il numero dei programmi nocivi presenti sulla scena del malware mobile è risultato in costante aumento: Numero di sample di malware mobile presenti nella nostra collezione Osserviamo, tuttavia, come sia rimasta sostanzialmente invariata, rispetto al secondo trimestre dell'anno in corso, la ripartizione per categorie tipologiche dei programmi nocivi per dispositivi mobili complessivamente individuati e neutralizzati dalle nostre soluzioni anti-malware lungo tutto l'arco del terzo trimestre del 2013.

12 Suddivisione delle nuove varianti di malware mobile in base ai loro specifici comportamenti nocivi - Terzo trimestre del 2013 La prima posizione della speciale graduatoria da noi stilata risulta occupata, così come in precedenza, dai programmi Backdoor, con una quota pari al 31% del numero complessivo di nuovi malware mobili individuati; l'indice ascrivibile a tale tipologia di software nocivo per piattaforme mobili ha tuttavia fatto registrare un decremento dell' 1,3% rispetto all'analoga quota rilevata nel secondo trimestre del Sul secondo gradino del podio virtuale si sono collocati i Trojan-SMS (30%), la cui quota, rispetto al trimestre precedente, è aumentata di 2,3 punti percentuali. La terza posizione è nuovamente andata ad appannaggio dei Trojan (22%), mentre alla quarta piazza del rating, peraltro con un marcato gap percentuale, troviamo ancora una volta la categoria che raccoglie i Trojan-Spy (5%). Nel terzo trimestre del 2013, i programmi Backdoor ed i Trojan-SMS hanno fatto complessivamente registrare una quota pari al 61% del volume totale di malware mobili individuati; tale indice risulta superiore di ben 4,5 punti percentuali rispetto all'analogo valore rilevato riguardo al secondo trimestre dell'anno in corso. E' di particolare interesse osservare come i software nocivi appositamente creati dai virus writer per infettare le piattaforme mobili siano spesso costituiti da vari componenti nocivi; i backdoor, ad esempio, sono di frequente provvisti delle tipiche funzionalità che contraddistinguono i Trojan-SMS, mentre questi ultimi, talvolta, possono presentare le complesse funzionalità che di solito recano i programmi bot. TOP-20 relativa ai programmi malware destinati alle piattaforme mobili % sul numero Denominazione complessivo di attacchi 1 DangerousObject.Multi.Generic 29,15% 2 Trojan-SMS.AndroidOS.OpFake.bo 17,63% 3 Trojan-SMS.AndroidOS.FakeInst.a 8,40% 4 Trojan-SMS.AndroidOS.Agent.u 5,49% 5 Trojan.AndroidOS.Plangton.a 3,15% 6 Trojan-SMS.AndroidOS.Agent.cm 3,92% 7 Trojan-SMS.AndroidOS.Opfake.a 3,58% 8 Trojan-SMS.AndroidOS.Agent.ao 1,90%

13 9 Trojan.AndroidOS.MTK.a 1,00% 10 DangerousObject 1,11% 11 Trojan-SMS.AndroidOS.Stealer.a 0,94% 12 Trojan-SMS.AndroidOS.Agent.ay 0,97% 13 Exploit.AndroidOS.Lotoor.g 0,94% 14 Trojan-SMS.AndroidOS.Agent.a 0,92% 15 Trojan-SMS.AndroidOS.FakeInst.ei 0,73% 16 Trojan.AndroidOS.MTK.c 0,60% 17 Trojan-SMS.AndroidOS.Agent.df 0,68% 18 Trojan-SMS.AndroidOS.Agent.dd 0,77% 19 Backdoor.AndroidOS.GinMaster.a 0,80% 20 Trojan-Downloader.AOS.Boqx.a 0,49% Come evidenziato dalla tabella qui sopra riportata, ben 12 dei programmi malware presenti nella TOP-20 del terzo trimestre dell'anno sono riconducibili alla categoria che raggruppa i Trojan-SMS. Ciò testimonia in maniera inequivocabile come, al momento attuale, gli attacchi condotti attraverso l'utilizzo dei famigerati Trojan-SMS godano di particolare popolarità presso le folte schiere dei malintenzionati della Rete; così come nel recente passato, i Trojan-SMS continuano difatti a rappresentare lo strumento prediletto dai cybercriminali per generare profitti illeciti mediante il dispiegamento di malware mobili. La prima posizione della speciale graduatoria è andata ad appannaggio del malware mobile classificato come DangerousObject.Multi.Generic; tale particolare denominazione indica che la natura dell'applicazione è già riconosciuta come nociva dagli esperti di sicurezza IT, ma, per un motivo o per l'altro, la firma che ne permette il rilevamento non fa ancora parte del database antivirus in possesso del nostro utente. In questo caso, l'individuazione del malware avviene grazie alle sofisticate tecnologie implementate attraverso la rete globale di sicurezza Kaspersky Security Network (KSN), le quali permettono ai nostri prodotti anti-malware di poter reagire in ogni frangente, con la massima rapidità, nei confronti di minacce IT nuove o sconosciute. I malware mobili che, nell'ambito della speciale TOP-20 relativa al terzo trimestre del 2013, occupano le posizioni di rincalzo in classifica (per l'esattezza dal 2 al 4 posto) sono, a tutti gli effetti, applicazioni nocive particolarmente complesse, sulla base delle quali i virus writer riescono in genere a costruire estese botnet mobili. Come si può vedere nella tabella qui sopra inserita, la seconda posizione della speciale classifica da noi stilata risulta occupata dal programma malware denominato Trojan-SMS.AndroidOS.OpFake.bo. Si tratta di uno dei più sofisticati e complessi rappresentanti della categoria dei Trojan-SMS. Esso si distingue per l'interfaccia particolarmente curata, così come per l'indiscutibile "avidità" dei suoi creatori. L'esecuzione del Trojan sul dispositivo mobile sottoposto ad attacco fa sì che al proprietario del telefono venga sottratta una considerevole somma di denaro - da un importo equivalente a 9 dollari USA sino all'intero ammontare dell'account in essere presso il relativo operatore di telefonia mobile. Vi è inoltre il rischio di screditare irrimediabilmente il numero di telefono interessato dall attacco, in quanto il suddetto Trojan

14 è perfettamente in grado di raccogliere i numeri presenti all'interno della rubrica, per poi inviare a questi ultimi tutta una serie di messaggi, in maniera del tutto arbitraria. Il malware mobile qui descritto è principalmente destinato agli utenti di lingua russa e, in genere, agli utenti di telefonia ubicati all'interno della Comunità degli Stati Indipendenti (CSI), ovvero quei paesi che occupano attualmente lo spazio geografico post-sovietico. Osserviamo poi come, al settimo posto della speciale TOP-20 che raggruppa i malware mobili più frequentemente rilevati lungo tutto l'arco del 3 trimestre del 2013, compaia un ulteriore software nocivo riconducibile a tale famiglia, provvisto di analoghe funzionalità. Il terzo gradino del "podio" virtuale risulta invece occupato dal programma malware classificato con la denominazione di Trojan-SMS.AndroidOS.FakeInst.a. Si tratta di un Trojan che, al pari di OpFake, nel corso degli ultimi due anni ha indubbiamente compiuto una significativa evoluzione, passando dallo status di semplice "speditore" di messaggi SMS alla più sofisticata condizione di programma bot vero e proprio. Esso viene gestito dai cybercriminali mediante l'utilizzo di vari canali di comando (tra cui, ad esempio, Google Cloud Messaging, il noto servizio che aiuta gli sviluppatori a trasmettere dati dai server alle proprie applicazioni Android, installate su dispositivi provvisti dell'omonimo sistema operativo). Il malware mobile FakeInst.a. è in grado di sottrarre denaro dall'account telefonico degli utenti presi di mira e, al tempo stesso, di inviare messaggi ai numeri presenti nell'elenco dei contatti precedentemente stilato dall'utente-vittima. Al quarto posto della graduatoria del terzo trimestre troviamo il malware mobile denominato Trojan- SMS.AndroidOS.Agent.u, il programma Trojan che ha iniziato a sfruttare per primo una specifica vulnerabilità individuata nell'os Android, allo scopo di ottenere privilegi avanzati di DEVICE ADMIN (Amministratore del Dispositivo) e, conseguentemente, rendere estremamente difficile, se non impossibile, la propria rimozione dal dispositivo contagiato. Oltre a ciò, il suddetto Trojan-SMS è in grado di far cadere le chiamate telefoniche in arrivo, nonché di effettuare chiamate per conto proprio. Per l'utente, il danno economico derivante dall'infezione prodotta dal Trojan in causa è quantificabile nell'invio di alcuni costosi messaggi SMS verso numeri a pagamento, per un importo minimo complessivo equivalente a 9 dollari. Nel terzo trimestre del 2013, il 97,5% del totale degli attacchi complessivamente rivolti alle piattaforme mobili è stato portato nei confronti di dispositivi provvisti di sistema operativo Android. Ovviamente, tale dato non costituisce ormai motivo di particolare sorpresa, visto l'elevato livello di popolarità acquisito dalla suddetta piattaforma, la quale continua a rimanere tuttora "aperta"; persino nelle sue versioni più recenti, gli sviluppatori hanno mantenuto inalterata la possibilità di installare applicazioni provenienti da fonti terze. Bisogna tuttavia riconoscere pieno merito a Google per i sensibili miglioramenti apportati in materia di sicurezza IT: adesso, per esempio, è lo stesso sistema operativo mobile a reagire prontamente nei confronti di determinate applicazioni nocive:

15 Ciò significa, in primo luogo, che i creatori di una delle piattaforme mobili più diffuse tengono quanto meno nella dovuta considerazione il fatto che, al giorno d'oggi, il sistema operativo Android è ormai assurto al ruolo di principale bersaglio del malware mobile, e cercano pertanto di contrastare nella maniera dovuta le conseguenti attività cybercriminali. Le statistiche Tutti i dati statistici riportati nel presente resoconto trimestrale sono stati ottenuti attraverso le speciali soluzioni anti-virus implementate nel Kaspersky Security Network (KSN), grazie all'attività svolta da vari componenti ed elementi di sicurezza IT, impiegati per assicurare un'efficace e pronta protezione nei confronti dei programmi malware. Essi sono stati ricevuti tramite gli utenti di KSN che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. A questo sofisticato sistema di scambio di informazioni su scala globale, riguardo alle pericolose attività condotte dal malware, prendono parte vari milioni di utenti dei prodotti Kaspersky Lab, ubicati in 213 diversi paesi e territori del globo. Le minacce in Internet I dati statistici esaminati in questo capitolo del nostro consueto report trimestrale sull evoluzione del malware sono stati ottenuti sulla base delle attività svolte dall'anti-virus web, preposto alla protezione dei computer degli utenti nel momento in cui dovesse essere effettuato il download di oggetti nocivi da pagine web nocive/infette. I siti Internet dannosi vengono appositamente allestiti dai cybercriminali; possono

16 tuttavia risultare infetti sia le risorse web il cui contenuto viene determinato dagli stessi utenti della Rete (ad esempio i forum), sia i siti legittimi violati. Oggetti infetti rilevati in Internet Nel terzo trimestre del 2013 le soluzioni anti-malware di Kaspersky Lab hanno complessivamente respinto ben attacchi condotti attraverso siti Internet compromessi, dislocati in vari paesi. TOP-20 relativa agli oggetti infetti rilevati in Internet Denominazione* % sul totale complessivo degli attacchi** 1 Malicious URL 89,16% 2 Trojan.Script.Generic 3,57% 3 AdWare.Win32.MegaSearch.am 2,72% 4 Trojan-Downloader.JS.Psyme.apb 1,19% 5 Trojan.Script.Iframer 1,10% 6 Exploit.Script.Blocker 0,37% 7 Trojan.Win32.Generic 0,35% 8 Trojan-Downloader.Script.Generic 0,28% 9 Trojan.JS.Iframe.aeq 0,15% 10 Adware.Win32.Agent.aeph 0,13% 11 Exploit.Java.Generic 0,11% 12 Trojan-Downloader.Win32.MultiDL.k 0,10% 13 Trojan-Downloader.Win32.Generic 0,10% 14 Exploit.Script.Generic 0,08% 15 Exploit.Script.Blocker.u 0,06% 16 WebToolbar.Win32.MyWebSearch.rh 0,06% 17 Packed.Multi.MultiPacked.gen 0,06% 18 Trojan-SMS.J2ME.Agent.kn 0,05% 19 Adware.Win32.Lyckriks.j 0,05% 20 Exploit.JS.Agent.bnk 0,04% *Oggetti infetti neutralizzati sulla base dei rilevamenti effettuati dal componente anti-virus web; le informazioni sono state ricevute tramite gli utenti dei prodotti Kaspersky Lab che hanno previamente fornito l'assenso per effettuare la trasmissione di dati statistici ai nostri analisti. **Quota percentuale sul totale complessivo degli attacchi web rilevati sui computer di utenti unici. La tabella qui sopra riportata mette ancora una volta in risalto come la maggior parte dei rilevamenti eseguiti dal modulo anti-virus web avvenga già nella fase di verifica degli URL. Come si può vedere, al primo posto della speciale TOP-20 dedicata agli oggetti nocivi rilevati in Internet figurano, per l'ennesima volta, proprio gli URL nocivi - ovverosia quei link che conducono a programmi malware di vario tipo - con una quota pari all' 89,2% del volume complessivo dei rilevamenti effettuati dall'anti-virus web (- 2,3 % rispetto all'analogo valore riscontrato nel secondo trimestre del 2013). In precedenza, tali oggetti infetti venivano da noi identificati con la denominazione generica Blocked. Si tratta, in

17 sostanza, di indirizzi Internet inseriti nella nostra blacklist, relativi ad un consistente numero di siti nocivi verso i quali vengono reindirizzati gli ignari utenti-vittima; in genere, tali pagine web contengono kit di exploit, bot, trojan estorsori, etc. Nella maggior parte dei casi, gli utenti giungono sui siti web dannosi dopo aver visitato con il proprio browser risorse Internet del tutto legittime - ma violate dai cybercriminali - all'interno delle quali i malintenzionati hanno provveduto ad iniettare pericolosi codici nocivi, spesso sotto forma di script nocivi (tale tipologia di attacco informatico viene definita dagli esperti di sicurezza IT con l'appellativo di drive-by download ). Al tempo stesso, esiste in Rete un ragguardevole numero di siti web nocivi creati espressamente dai malfattori per lanciare pericolosi attacchi nei confronti dei computer-vittima. E facile quindi comprendere come risulti di fondamentale importanza poter disporre, sul proprio computer, di un efficace soluzione anti-malware. Oltre a ciò, le infezioni informatiche possono prodursi anche quando gli utenti cliccano in maniera volontaria su collegamenti ipertestuali potenzialmente pericolosi, ad esempio nel momento in cui essi procedono alla ricerca sul web dei più svariati contenuti pirata. Ben 10 delle 20 posizioni che compongono la classifica in questione risultano occupate da "verdetti" riconducibili ad oggetti nocivi utilizzati dai cybercriminali per la conduzione di attacchi di tipo drive-by; si tratta, in effetti, del metodo di attacco maggiormente diffuso, presso i malintenzionati, per realizzare - attraverso Internet - la penetrazione di pericolosi software nocivi all'interno dei computer degli utenti della Rete. Tale novero comprende, nella circostanza, sia oggetti nocivi rilevati tramite metodi euristici, quali Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan- Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic, sia oggetti infetti neutralizzati dalle nostre soluzioni anti-malware grazie all'impiego di metodi non euristici. All'interno della TOP-20 qui esaminata, tra i rilevamenti di tipo "non euristico", incontriamo, per la maggior parte, dei programmi AdWare; rispetto al trimestre precedente, la quota ad essi attribuibile ha fatto registrare un aumento di 2,4 punti percentuali. Un componente del tutto inatteso del rating relativo agli oggetti nocivi rilevati con maggiore frequenza dal modulo anti-virus dedicato ad Internet, è risultato essere il malware denominato Trojan- SMS.J2ME.Agent.kn. Si tratta, nella fattispecie, di un software nocivo appositamente creato dai virus writer per colpire la piattaforma Java Platform Micro Edition. Ormai da alcuni anni - per l'esattezza dal i rappresentanti di tale famiglia di malware non popolavano più la TOP-20 in questione. La funzionalità nociva di cui è provvisto tale programma nocivo per dispositivi mobili è costituita dall'invio di costosi messaggi SMS verso numeri a pagamento. Il malware in causa viene in genere distribuito per mezzo di messaggi di spam diffusi tramite il noto programma di instant messaging ICQ; tali messaggi contengono, difatti, insidiosi link preposti a generare il download della suddetta applicazione nociva, destinata alla piattaforma Java. Un altro metodo utilizzato dai malfattori per realizzare la diffusione del Trojan-SMS è rappresentato dai siti tematici attraverso i quali viene proposto il download di applicazioni mobili di vario genere. Non appena l utente clicca sul link nocivo, sul lato sito viene subito verificato il campo User-Agent, allo scopo di determinare il sistema operativo in uso presso l utente. Se il parametro User-Agent corrisponde ad un browser web operante tramite l OS Android, verrà avviato il download di un applicazione nociva per Android. Per tutti gli altri casi, compreso quello in cui viene utilizzato, di fatto, un browser web installato su un computer ordinario, i proprietari del malware in questione

18 hanno invece optato per recapitare all utente-vittima, «per impostazione predefinita», l applicazione maligna destinata alla piattaforma J2ME. In pratica, quindi, ogni volta che un utente provvede a cliccare su uno dei suddetti link, il modulo anti-virus web installato sul computer sottoposto ad attacco emetterà il "verdetto" relativo alla pericolosità dell'oggetto nocivo individuato, classificando quest ultimo come Trojan-SMS.J2ME.Agent.kn Paesi dalle cui risorse web sono stati più frequentemente condotti attacchi informatici nei confronti degli utenti Le seguenti statistiche si basano sull ubicazione fisica delle risorse online utilizzate nel corso degli attacchi segnalati al Kaspersky Security Network (pagine web contenenti redirect ad exploit pack, siti contenenti exploit e malware di altro genere, centri di comando delle botnet, etc.). Per determinare l'origine geografica degli attacchi informatici portati tramite web è stato applicato il metodo che prevede la debita comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta effettivamente collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP). Rileviamo in primo luogo come, relativamente al terzo trimestre del 2013, l' 81,5% delle risorse web utilizzate per la distribuzione di programmi nocivi da parte dei malintenzionati della Rete risulti concentrato in una ristretta cerchia di dieci paesi, evidenziati nel grafico qui sotto rappresentato. L'indice sopra menzionato ha fatto ad ogni caso registrare una diminuzione dell' 1,5% rispetto all analogo valore riscontrato nel trimestre precedente. Distribuzione geografica (ripartizione per paesi) delle risorse web infette/dannose contenenti programmi nocivi, utilizzate dai malintenzionati per la conduzione degli attacchi neutralizzati dall'antivirus web - Situazione relativa al terzo trimestre del 2013 Sottolineiamo come le quote relative a tutti i paesi presenti nella TOP-10 analizzata in questo capitolo del report trimestrale dedicato all evoluzione del malware evidenzino solo lievi variazioni rispetto all'analogo rating stilato per il secondo trimestre dell'anno in corso. La leadership della speciale graduatoria che fornisce il quadro esatto della ripartizione geografica degli hosting nocivi presenti sul

19 territorio dei vari paesi del globo è andata nuovamente ad appannaggio degli Stati Uniti d'america (27,7%), mentre la Federazione Russa (18,5%), la Germania (13,4%) ed i Paesi Bassi (11,6%) hanno conservato le stesse identiche posizioni occupate nell'ambito dell'analoga graduatoria relativa al trimestre precedente. In pratica, il 70,15% degli hosting nocivi complessivamente individuati e neutralizzati dal nostro anti-virus web è risultato essere "fisicamente" collocato sul territorio dei quattro paesi sopra menzionati. Osserviamo, infine, come non facciano più parte della TOP-10 in questione né la Cina né il Vietnam, mentre le "new entry" della speciale graduatoria - ovvero Canada (1,3%) ed Isole Vergini (1,2%) - sono andate a collocarsi, rispettivamente, all'ottava e alla nona piazza del rating. Paesi i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet Al fine di valutare nel modo più definito possibile il livello di rischio esistente riguardo alle infezioni informatiche distribuite via web - rischio al quale risultano sottoposti i computer degli utenti nei vari paesi del globo - abbiamo stimato la frequenza con la quale, nel corso del trimestre qui analizzato, gli utenti dei prodotti Kaspersky Lab, ubicati nelle varie regioni geografiche mondiali, hanno visto entrare in azione il modulo anti-virus specificamente dedicato al rilevamento delle minacce IT presenti nel World Wide Web. Evidenziamo come l indice in questione non dipenda, ad ogni caso, dal numero di utenti del Kaspersky Security Network presenti in un determinato paese. Paese* %** 1 Federazione Russa 49,66% 2 Kazakhstan 49,22% 3 Armenia 49,06% 4 Azerbaijan 48,43% 5 Tagikistan 45,40% 6 Vietnam 43,45% 7 Bielorussia 40,36% 8 Ukraina 40,11% 9 Moldavia 39,94% 10 Kirghizistan 38,21% 11 Georgia 36,48% 12 Germania 35,78% 13 Grecia 34,36% 14 Turchia 34,15% 15 Austria 33,70% 16 Algeria 33,42% 17 India 33,39% 18 Uzbekistan 33,32% 19 Thailandia 32,95% 20 Sri Lanka 32,77%

20 I 20 paesi* nei quali si è registrato il maggior numero di tentativi di infezione dei computer degli utenti tramite Internet**. Situazione relativa al terzo trimestre del *Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di utenti). **Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese. La composizione del rating qui sopra riportato è rimasta in sostanza invariata rispetto all'analoga graduatoria relativa al secondo trimestre del 2013; le uniche eccezioni sono rappresentate dall'ascesa della Germania al dodicesimo posto della speciale classifica da noi stilata (35,78%), mentre la Libia, da parte sua, non rientra più nel novero dei paesi presenti nel rating in questione. E' di particolare interesse osservare come gli indici di tutti i paesi che compongono la graduatoria relativa al terzo trimestre dell'anno in corso si siano mantenuti al di sotto della soglia del 50%. La Russia, ad esempio, paese che è andato ad occupare la prima posizione della graduatoria qui analizzata, ha fatto segnare una quota pari al 49,66%. Nel terzo trimestre del 2013, pertanto, nessun paese è entrato a far parte del Gruppo a massimo rischio, che comprende quelle nazioni in cui oltre il 60% degli utenti - almeno una volta - si è imbattuto negli insidiosi malware circolanti in Internet. In base al livello di «contaminazione» informatica cui sono stati sottoposti i computer degli utenti nel trimestre preso in esame, risulta possibile suddividere i vari paesi del globo in gruppi distinti. 1. Gruppo ad alto rischio. Tale gruppo - contraddistinto da quote che vanno dal 41% al 60% - risulta composto dai primi 8 paesi presenti nella TOP-20 (2 paesi in meno rispetto all'analoga graduatoria relativa al trimestre passato). Così come in precedenza, fanno parte del "Gruppo ad alto rischio" il Vietnam (43,45%) e numerosi paesi ubicati nello spazio geografico post-sovietico: Russia (49,66%), Kazakhstan (49,22%), Armenia (49,06%), Azerbaijan (48,43%), Tagikistan (45,40%), Bielorussia (40,36%) ed Ukraina (40,11%). 2. Gruppo a rischio. Esso è relativo agli indici percentuali che spaziano nel range 21% - 40,99%. Complessivamente, sono entrati a far parte di questo terzo gruppo ben 76 paesi, tra cui Germania (35,78%), Polonia (32,79%), Brasile (30,25%), Stati Uniti (29,51%), Spagna (28,87%), Qatar (28,82%), Italia (28,26%), Francia (27,91%), Gran Bretagna (27,11%), Egitto (26,30%), Svezia (21,80%), Paesi Bassi (21,44%) e Argentina (21,40%). 3. Gruppo dei paesi nei quali la navigazione in Internet risulta più sicura. Per ciò che riguarda il terzo trimestre del 2013, in tale gruppo figurano 62 paesi, i quali presentano quote percentuali comprese nella forchetta 10-21%.