Classifica malware: febbraio 2012

Transcript

1 Classifica malware: febbraio 2012 Aleksandr Gostev Denis Maslennikov Jurij Namestnikov Dmitrij Tarakanov Febbraio in cifre Nel corso del mese, nei computer degli utenti dei prodotti Kaspersky Lab: sono stati bloccati tentativi di infezione via Internet; sono stati individuati e neutralizzati programmi malware; sono stati individuati URL nocivi; sono stati respinti attacchi di rete. DUQU, le ultime notizie Le indagini e le ricerche condotte riguardo il famigerato programma Trojan denominato Duqu sono ormai passate dalla fase primaria - caratterizzata da analisi attivamente eseguite sulla base delle «tracce ancora fresche» lasciate dal malware - ad uno stadio più complesso ed avanzato, in cui i dati pazientemente raccolti vengono sottoposti ad analisi estremamente dettagliate e a processi di sintesi finale. Nel corso dei mesi di gennaio e febbraio 2012, gli esperti di Kaspersky Lab hanno in particolar modo focalizzato la loro attenzione sugli aspetti tecnici che determinano l'esistenza stessa del malware Duqu, quali i sistemi di server adibiti alla raccolta dei dati illegalmente carpiti o la struttura interna dei moduli di cui si compone il Trojan in questione. Dalla fine del mese di dicembre dello scorso anno ad oggi, non abbiamo tuttavia più rilevato alcun segnale relativo ad un'effettiva presenza di Duqu nell'ambito del world wide web. Come è noto, il primo e il secondo giorno di dicembre 2011, gli autori del Trojan hanno condotto una nuova operazione globale di «cancellazione delle tracce» su tutti i server utilizzati. I malintenzionati hanno cercato di correggere gli errori commessi il 20 ottobre scorso, in occasione della prima «campagna» di clean-up eseguita sui server di controllo nocivi (maggiori dettagli a tal proposito sono riportati nella sesta parte della serie di blogpost specificamente dedicati a Duqu). A questo punto possiamo cercare di tirare le somme riguardo all'ultimo attacco informatico di cui si è reso protagonista il malware Duqu. Sono stati individuati circa una quindicina di incidenti virali in cui è stato dispiegato il potenziale nocivo del Trojan; la maggioranza delle «vittime» di Duqu è risultata essere ubicata in Iran. L'analisi delle attività condotte dalle aziende e dagli enti iraniani sottoposti ad attacco, così come il carattere dei dati e delle informazioni alle quali generalmente sono soliti interessarsi gli autori di Duqu, inducono a trarre l'evidente conclusione che l'obiettivo principale degli «attaccanti» fosse rappresentato dalla raccolta del maggior numero di informazioni possibile riguardo ai sistemi di gestione della produzione in vari settori dell'industria iraniana, così come il tentativo di carpire informazioni in merito ai rapporti commerciali intrattenuti da numerose società ed organizzazioni iraniane.

2 A seguito di attente analisi condotte sul codice di Duqu, gli esperti di Kaspersky Lab sono giunti alla conclusione che, oltre ad utilizzare una sorta di piattaforma comune, da noi denominata Tilded, gli autori del programma si sono avvalsi di un proprio framework, sviluppato sulla base di un linguaggio di programmazione sconosciuto. Riguardo a tale specifica soluzione di sviluppo del malware, unica e singolare, abbiamo riferito in un blogpost a parte. Sulla base dei dati raccolti, è lecito presupporre che gli sviluppatori della piattaforma Tilded non andranno di certo ad interrompere in questa fase il lavoro intrapreso e in futuro (forse già nell'immediato futuro) ci imbatteremo in qualche ulteriore elaborazione. Gli attacchi nei confronti dei singoli utenti Vulnerabilità nel sistema di pagamento mobile Google Wallet Nell'autunno del 2011, la società Google ha lanciato il nuovo sistema denominato Google Wallet, che consente di effettuare il pagamento di prodotti e servizi mediante l'utilizzo di smartphone dotati di sistema operativo Android e di apposito modulo NFC (Near Field Communication), che si avvale della tecnologia wireless. In pratica, viene installata sullo smartphone l applicazione Google Wallet e viene in seguito definita la carta di credito da utilizzare per le transazioni finanziarie. Per effettuare il pagamento, il proprietario dello smartphone dovrà semplicemente inserire un codice PIN all'interno dell'applicazione Google Wallet e avvicinare il proprio telefono cellulare al dispositivo previsto per le operazioni di lettura; in tal modo lo smartphone provvederà a trasmettere in maniera automatica, sotto forma cifrata, tutti i dati necessari per eseguire la transazione. Quando il gigante di Mountain View ha annunciato il lancio del nuovo servizio, gli esperti di sicurezza IT hanno subito espresso alcuni dubbi riguardo i livelli di sicurezza del nuovo sistema di pagamento mobile in caso di furto o smarrimento del telefono o nella malaugurata ipotesi in cui lo smartphone munito di Google Wallet fosse andato a finire nelle mani sbagliate. In effetti, i primi di febbraio, sono stati resi di pubblico dominio due metodi di hacking in grado di violare il portafoglio elettronico allestito da Google, metodi di cui i malintenzionati possono avvalersi nelle circostanze sopra descritte. Joshua Rubin, ingegnere senior presso zvelo Inc. - società statunitense specializzata in tecnologie web e sicurezza IT - ha scoperto e reso noto online ( come possa essere individuato e carpito il codice PIN nel caso in cui qualcuno abbia la possibilità di accedere al telefono cellulare smarrito o rubato. I dati relativi all'account bancario sono conservati in un dispositivo protetto (Secure Element) simile ad una smart card, presente nel chip NFC, mentre l'hash del codice PIN viene custodito nel file system del telefono. Per poter leggere l'hash in questione è necessario disporre di un accesso root al telefono, che può essere facilmente ottenuto tramite metodi di hacking ben conosciuti. Dato che il codice PIN di Google Wallet è formato da un numero di sole 4 cifre, non risulterà particolarmente complesso, per i malintenzionati, riuscire ad individuare la giusta combinazione di cifre necessarie per ricomporlo, tramite l'applicazione di un semplice metodo «brute force» (forza bruta), che consente di simulare ogni possibile combinazione esistente. Dopo essersi impossessati del codice, i malintenzionati potranno quindi procedere al pagamento dei prodotti o dei servizi acquistati, utilizzando l'account Google Wallet del legittimo proprietario. Il giorno successivo all'individuazione della vulnerabilità sopra descritta, sono state pubblicate sul web informazioni, corredate da un video, ( riguardo ad un ulteriore metodo in grado di

3 poter garantire un facile accesso al portafoglio virtuale Google Wallet presente sullo smartphone rubato. Tutto senza dover in alcun modo ricorrere a violazioni del sistema e quindi senza dover disporre di un accesso root. Nella circostanza, si faceva riferimento ad una vulnerabilità individuata nell applicazione Google Wallet. In effetti, accedendo al menu relativo alle impostazioni delle applicazioni presenti nello smartphone ed eliminando tutti i dati riguardanti l'applicazione Google Wallet, emergeva che al riavvio di quest'ultima sarebbe stato richiesto all'utente di impostare un nuovo codice PIN, senza dover inserire il codice precedentemente utilizzato. Le vulnerabilità sono state subito segnalate a Google, la quale ha immediatamente provveduto a sospendere per alcuni giorni l'operatività delle tecnologie utilizzate in Google Wallet, fino all'eliminazione delle minacce di sicurezza. Successivamente, Google ha dichiarato di aver corretto la vulnerabilità presente nell'applicazione e ha ripristinato il servizio di pagamento tramite dispositivi mobili; a inizio marzo, tuttavia, non è ancora comparsa alcuna comunicazione in merito all'avvenuta correzione della prima vulnerabilità sopra descritta, relativa all'utilizzo, da parte dei malintenzionati, di metodi di «forza bruta» al fine di entrare in possesso dell'esatto codice PIN. Per impedire l'accesso all'hash del codice PIN occorre che questo, al pari degli altri dati sensibili riguardanti il conto bancario/carta di credito, venga custodito in una sezione protetta del chip NFC. Qui sorgono tuttavia complicazioni di natura giuridica: in tal caso, ogni responsabilità inerente alla sicurezza del codice PIN passa da Google agli istituti bancari, che risultano responsabili per il settore protetto Secure Element. Codici fasulli per Google Analytics L'hacking dei siti web viene nella maggior parte dei casi utilizzato dai malintenzionati per realizzare la diffusione di programmi malware; in sostanza, i cybercriminali introducono codici nocivi all'interno dei codici sorgente di determinate pagine Internet che compongono le risorse web violate. Per far sì che i proprietari dei siti compromessi si accorgano il più tardi possibile di eventuali modifiche dannose apportate alle pagine web, gli hacker ricorrono all'applicazione di vari metodi. All'inizio del mese di febbraio 2012 abbiamo individuato una vera e propria ondata di infezioni informatiche legate a tale fenomeno, le quali si caratterizzavano per il fatto che il codice dannoso introdotto all'interno dei siti legittimi violati risultava mascherato da un codice apparentemente riconducibile a Google Analytics, il servizio statistico implementato online dalla società di Mountain View. Il codice nocivo in questione presenta alcune caratteristiche:

4 1. come evidenzia lo screenshot sopra riportato, tale codice nocivo utilizza un indirizzo con doppia lineetta <google--analytics.com>, anziché l'indirizzo originale <googleanalytics.com>. 2. Nel codice originale, l'identificatore dell'account è costituito da una stringa univoca munita di determinate cifre (ad esempio «UA »), preposta ad identificare in maniera univoca il sito web oggetto dei rilievi statistici. Nella circostanza, il codice nocivo presenta la stringa generica «UA-XXXXX-X», anziché una stringa univoca. 3. Il codice dannoso iniettato dai malintenzionati viene inserito proprio all'inizio del codice relativo alla pagina web violata, a volte addirittura prima dello stesso tag <html>, mentre il codice originale di Google Analytics viene invece abitualmente aggiunto dagli sviluppatori alla fine della pagina web. Il risultato prodotto dall'azione nociva svolta dal codice maligno è di particolare complessità e gravità: sul browser dell'utente viene caricato, dall'indirizzo predisposto dai malintenzionati, ovvero <google-- analytics.com>, il javascript offuscato «ga.js», cosicché il visitatore della pagina web compromessa, dopo vari redirecting, viene indirizzato a sua totale insaputa su un server appositamente equipaggiato con il kit di exploit denominato BlackHole Exploit Kit. In caso di esito positivo dell'attività nociva svolta dal suddetto exploit, il computer dell utente viene infettato da un programma nocivo. Al momento attuale il sito <google--analytics.com> non risulta funzionante. Tuttavia, all'interno di alcune risorse web violate, stiamo ancora continuando ad osservare alcuni codici fasulli apparentemente riconducibili a Google Analytics, per quanto innocui (almeno per il momento). Le minacce per i dispositivi mobili Gli ultimi avvenimenti che si sono prodotti nel panorama delle minacce mobili evidenziano chiaramente come, nel corso del 2012, le botnet mobili si stiano apprestando a divenire una delle principali problematiche sia per gli utenti degli smartphone che per le società produttrici di soluzioni antivirus. La botnet mobile RootSmart I virus writer cinesi sono riusciti a creare in tempi rapidi una rete-zombie composta da un numero di dispositivi mobili attivi che varia costantemente dalle alle unità; il numero complessivo dei dispositivi infettati lungo tutto il periodo di esistenza della suddetta botnet mobile ammonta ad alcune centinaia di migliaia di smartphone. In base alla classificazione eseguita da Kaspersky Lab, i bot che si trovano all'origine della rete-zombie in questione sono riconducibili alla famiglia Backdoor.AndroidOS.RootSmart. Tutti i dispositivi mobili infettati parte della botnet RootSmart sono in grado di ricevere ed eseguire da remoto i comandi provenienti dall'apposito server C&C. Una simile quantità di apparecchi infetti costituiva una prerogativa delle botnet «ordinarie», formate da computer-zombie dotati di sistema operativo Windows. A quanto pare, le dimensioni delle botnet mobili e delle reti-zombie «convenzionali» sembrano coincidere; sta quindi divenendo realtà un fenomeno che fino a poco tempo fa si collocava ancora nel quadro delle ipotesi. Dal punto di vista della «monetizzazione», da parte dei proprietari delle reti-zombie delle due diverse tipologie di botnet, sussistono differenze. In effetti, mentre per far soldi con le botnet ordinarie si ricorre all'organizzazione di attacchi DDoS e al dispiegamento di imponenti campagne di spam, i metodi di «arricchimento» utilizzati dai malintenzionati che si avvalgono delle botnet mobili sono di natura diversa.

5 I malfattori che controllano la botnet RootSmart hanno scelto il metodo di «monetizzazione» più tradizionale e diffuso nel mondo della cybercriminalità mobile: l'invio di messaggi SMS verso costosi numeri a pagamento, a totale insaputa dell'utente. Coloro che amministrano la suddetta rete-zombie hanno la possibilità di stabilire la frequenza dell'invio di tali SMS (una, due, tre o più volte al giorno), il numero di giorni durante i quali sarà eseguito l'invio dei messaggi dai telefoni contagiati dal malware, nonché i numeri telefonici verso i quali saranno indirizzati gli SMS a pagamento. Dato che i proprietari della botnet RootSmart hanno il pieno controllo sui dispositivi mobili infettati, essi possono agire in maniera tale che gli utenti degli smartphone-vittima non sospettino nulla di quanto stia in realtà avvenendo (ricorrendo ad esempio all'utilizzo dei numeri a pagamento meno «onerosi» in termini di costo); tali malintenzionati riescono quindi a controllare a loro piacimento il processo di «monetizzazione» della botnet RootSmart. Questo genere di approccio al business illecito consente loro, a differenza di quanto generalmente avviene con i Trojan-SMS ordinari, di ottenere profitti significativi per un lungo periodo di tempo. L'arresto degli autori di Foncy Nel mese di gennaio 2012 abbiamo individuato l'esempio più eclatante di programma maligno mediante il quale i malfattori possono controllare da remoto il dispositivo mobile infettato, inviando a i più disparati comandi: si tratta del malware Backdoor.Linux.Foncy.a. Tale backdoor viene installato nel sistema mediante un programma dropper in formato APK (Android application package file), assieme ad un root exploit (Exploit.Linux.Lotoor.ac) ed un Trojan-SMS (Trojan- SMS.AndroidOS.Foncy.a). Ricordiamo come la famiglia dei Trojan-SMS Foncy fosse già stata individuata e classificata nel mese di novembre del L'inizio di febbraio è stato marcato da un'ottima notizia: sono state arrestate a Parigi due persone sospettate di aver causato l'infezione di oltre dispositivi mobili - equipaggiati con sistema operativo Android - mediante programmi malware riconducibili alla famiglia Foncy. Tale provvedimento rappresenta il primo caso di arresto di autori di programmi nocivi «dedicati» alle piattaforme mobili. Dal momento in cui sono state rese di pubblico dominio le informazioni relative all'esistenza del malware Foncy sino al giorno dell'arresto dei suoi autori sono tuttavia trascorsi ben 3 mesi. Ci auguriamo che l'affare possa giungere ben presto alla sua più naturale e logica conclusione e che venga diffusa in tempi rapidi la notizia relativa all'emissione della prima sentenza di condanna di virus writer resisi responsabili della creazione e dello sviluppo di software nocivi preposti ad attaccare i dispositivi mobili. Secondo le prime stime raccolte dalle autorità competenti, i due malintenzionati hanno complessivamente causato agli utenti di smartphone perdite finanziarie nell'ordine di circa euro. Gli attacchi nei confronti delle reti informatiche e dei siti web di grandi società e organizzazioni Nel corso del mese di febbraio 2012 sono proseguiti gli attacchi informatici condotti dagli hacktivisti di Anonymous nei confronti di risorse web facenti capo a enti finanziari e organizzazioni politiche. Sono risultati sottoposti ad attacchi portati dagli hacktivisti i siti web delle società americane Combined Systems Inc. (CSI) e Sur-Tec Inc. Tali società sono state dichiarate dagli esponenti di Anonymous responsabili della fornitura in vari paesi di mezzi e strumenti utilizzati per esercitare forme di sorveglianza sui cittadini, sia di gas lacrimogeni e altri strumenti per la repressione di manifestazioni di piazza. Nella fattispecie, la società CSI è stata accusata di aver fornito simili strumenti tecnologici in

6 Egitto (ai tempi in cui si trovava ancora al potere il presidente Mubarak, ormai dimessosi da più di un anno), così come in Israele, Guatemala ed altri paesi ancora. Gli hacker sono riusciti ad impossessarsi delle comunicazioni e delle corrispondenze interne della società in questione, dell'elenco dei clienti e di una serie di documenti interni della Combined Systems Inc.; tutto il materiale sottratto è stato pubblicato sul sito pastebin.com, facilmente accessibile da parte dei navigatori della Rete. Oltre a ciò, il gruppo Anonymous ha violato una serie di siti appartenenti alla Federal Trade Commission (FTC) degli Stati Uniti. Tale azione è stata condotta nel quadro della lotta intrapresa da Anonymous nei confronti del trattato ACTA (the Anti Counterfeiting Trade Agreement). All'interno dei siti web scardinati è stato collocato un video di protesta nei confronti dell'adozione del trattato. Gli hacktivisti di onymous hanno carpito dai siti in questione anche i login e le password appartenenti agli utenti delle risorse web violate; così come nel caso precedente, anche in tale circostanza il materiale rubato è stato pubblicato su pastebin.com. Si è assunto la responsabilità della conduzione di tali attacchi informatici il medesimo gruppo che aveva provveduto ad organizzare, nello scorso mese di gennaio, una serie di attacchi DDoS in segno di protesta nei confronti della chiusura del sito web Megaupload.com. Nel caso specifico erano stati messi fuori combattimento i siti web facenti capo al Ministero della Giustizia statunitense, così come i siti appartenenti alla Universal Music Group, alla Recording Industry Association of America e alla MPAA (Organizzazione americana dei produttori cinematografici). Un altro gruppo di hacktivisti riconducibile ad Anonymous (LONGwave99) ha poi sferrato un attacco nei confronti di note istituzioni finanziarie statunitensi. Il 14 e il 15 febbraio scorso, tramite l'utilizzo di attacchi DDoS, essi sono difatti riusciti a rendere inaccessibili agli utenti del web, per alcune ore, i siti delle borse valori NASDAQ, BATS, Chicago Board Options Exchange (CBOE) e Miami Stock Exchange. Tali assalti, riuniti sotto la comune denominazione «Operation Digital Tornado», secondo le dichiarazioni rilasciate da esponenti delle istituzioni borsistiche,non hanno tuttavia in alcun modo sul regolare svolgimento delle contrattazioni effettuate nel corso delle due giornate. Nel frattempo, le forze di cyber polizia stanno continuando a condurre attivamente le loro indagini riguardo alle attività svolte dagli hacktivisti su scala planetaria. Alla fine del mese di febbraio 2012, a seguito di un'operazione congiunta compiuta dall'interpol e dalle forze dell'ordine di Argentina, Cile, Colombia e Spagna, sono state arrestate ben 25 persone, sospettate di aver preso parte ad una serie di attacchi informatici. In risposta alla suddetta operazione, gli esponenti di Anonymous hanno immediatamente organizzato un attacco DDoS nei confronti del sito web dell'interpol, il quale ha causato, per alcune ore, la messa fuori servizio del sito. In Russia, alla vigilia delle elezioni presidenziali di marzo 2012, gli attacchi DDoS e la pratica della violazione dei siti web sono divenuti strumenti di lotta politica ampiamente utilizzati. Sono così risultati sottoposti ad assalti informatici ispirati da motivazioni di natura politica i siti di vari mass media, nonché le risorse web riconducibili sia a forze di opposizione che a forze governative. E' di particolare interesse rilevare come, per la conduzione dell'intera serie di attacchi individuati dagli esperti di Kaspersky Lab, i malintenzionati abbiano fatto ricorso ad alcune botnet riconducibili ad una medesima e unica tipologia (Ruskill), alternando l'utilizzo delle reti-zombie in questione. Abbiamo riscontrato 8 centri di comando e controllo di tali botnet, collocati in vari paesi, su varie piattaforme, e ospitati da vari provider. Tutti i C&C sopra menzionati sono da ricondurre ad un medesimo gruppo di persone. In molti casi è risultato che le botnet coinvolte nella conduzione di attacchi «politici» fossero state in precedenza utilizzate nel corso di assalti DDoS di natura commerciale, mediante i quali i malintenzionati

7 si prefiggevano di colpire negozi online, istituti bancari, forum tematici e blog personali. E' evidente come le botnet si siano rese artefici di insistiti attacchi DDoS - intrisi di motivazioni politiche - dietro una precisa base commerciale; i titolari di tali reti-zombie hanno in pratica agito come veri e propri mercenari, disposti, per soldi, ad attaccare chiunque. Le classifiche di febbraio 2012 I dati indicati sono stati elaborati sulla base dei rilevamenti effettuati dal modulo anti-virus e sono stati raccolti tramite gli utenti dei prodotti Kaspersky Lab che hanno fornito il consenso alla trasmissione. TOP 10 dei malware in Internet % sul numero Denominazione del malware rilevato dall'anti-virus web complessivo di attacchi Variazione in classifica 1 Malicious URL 91,26% 0 2 Trojan.Script.Iframer 5,81% 0 3 Trojan.Script.Generic 2,15% 0 4 Trojan-Downloader.Script.Generic 0,95% +2 5 Trojan.Win32.Generic 0,47% -2 6 Trojan-Downloader.JS.Agent.gmr 0,43% 7 Trojan-Spy.JS.Agent.c 0,37% -2 8 Trojan- Downloader.Win32.Agent.gyai 0,35% +1 9 Trojan.JS.Redirector.ue 0,31% 10 Trojan.JS.Popupper.aw 0,30% -1 TOP 10 dei paesi nelle cui risorse web sono stati ospitati programmi dannosi % sul numero Paese* complessivo di attacchi 1 Paesi Bassi 22,49% 2 Stati Uniti 20,97% 3 Federazione Russa 16,82% 4 Germania 10,09% 5 Ukraina 4,57% 6 Gran Bretagna 4,43% 7 Isole Vergini Britanniche 1,89% 8 Francia 1,79% 9 Cina 1,45% 10 Canada 1,10%

8 * Per determinare l'origine geografica dell'attacco informatico è stato applicato il metodo che prevede la comparazione del nome di dominio con il reale indirizzo IP nel quale tale dominio risulta collocato; si è allo stesso modo fatto ricorso all'accertamento della collocazione geografica di tale indirizzo IP (GEOIP). TOP 10 delle zone di dominio nelle quali sono risultati dislocati i programmi malware Zona di dominio Numero di attacchi* 1 ru com info net org in pl me eu biz *Numero complessivo di attacchi unici, rilevati dal componente anti-virus web, provenienti da risorse Internet dislocate nella zona di dominio. TOP 10 dei paesi nei quali gli utenti sono risultati maggiormente esposti al rischio di infezioni mediante Internet Paese %* 1 Federazione 53,75% Russa 2 Costa d'avorio 49,25% 3 Armenia 45,47% Variazione in classifica 0 4 Kazakhstan 44,99% 5 Bielorussia 43,89% 6 Azerbaijan 43,08% 7 Ukraina 41,93% 0 8 Moldavia 38,16%

9 9 Bangladesh 35,70% 10 Uzbekistan 35,37% -2 Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta relativamente contenuto (meno di utenti). * Quote percentuali relative al numero di utenti unici sui computer dai quali sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese. TOP 10 dei paesi i cui utenti sono risultati sottoposti al minor rischio di infezioni informatiche via Web Paese %* 1 Taiwan 8,22% 2 Giappone 8,23% 3 Benin 9,21% 4 Lussemburgo 10,13% 5 Mozambico 10,15% 6 Hong Kong (regione amministrativa speciale della Repubblica Popolare Cinese) 10,35% 7 Macao (regione amministrativa 10,68% speciale della Repubblica Popolare Cinese) 8 Danimarca 11,01% 9 Nuova Zelanda 11,23% 10 Sudafrica 12,04% Variazione in classifica Nell'effettuare i calcoli statistici non abbiamo tenuto conto di quei paesi in cui il numero di utenti delle soluzioni anti-virus di Kaspersky Lab risulta ancora relativamente contenuto (meno di utenti). * Quote percentuali relative al numero di utenti unici sui computer dei quali sono state bloccate e neutralizzate minacce informatiche provenienti dal web, rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.