"È un testa a testa senza esclusione di colpi, quello tra hacker ed esperti di cyber security: ad ogni passo avanti nello sviluppo dei sistemi di protezione si contrappone una minaccia nuova. In questa logica si inserisce l’individuazione di un APT mai rilevato in precedenza a livello internazionale. Averne identificato la comparsa ci dice molto sulla capacità offensiva ed organizzativa del cyber crime, ma al tempo stesso ci conforta rispetto alla possibilità di aver spuntato alcune delle armi degli hacker, per quanto riguarda questo inedito e pericoloso strumento di attacco”. Parla così Mirko Gatto, CEO di Yarix, Divisione Digital Security di Var Group, player di primo piano nei servizi e nelle soluzioni ICT per le imprese e parte del gruppo SeSa S.p.A. quotato sul segmento Star di Borsa Italiana.
- L’incidente non era rilevabile dai log: l’APT individuato è progettato per nascondere le tracce del proprio funzionamento.
- L’APT è in grado di captare – in gergo sniffare – le informazioni sensibili di utenti di piattaforme online di pagamento, inserendosi all’interno del processo quando i dati, trasmessi in modo cifrato, vengono lecitamente decifrati dal web-server.
- Alterando un modulo di Apache – web-server open largamente utilizzato – l’APT intercetta ed archivia in memoria dati sensibili, a cui l’hacker può in seguito accedere collegandosi direttamente dall’esterno simulando traffico del tutto lecito; non essendoci alcun invio autonomo di dati verso l’esterno del sistema, né tantomeno nessuna registrazione delle attività, la violazione risulta molto difficile da rilevare.
- È la prima volta in cui abbiamo evidenza che la compromissione di moduli di Apache venga utilizzata in questo modo; in precedenza questa tecnica è stata utilizzata per impiantare backdoor (ad esempio il malware Linux/Cdorked.A) al fine di ridirezionare il traffico verso siti compromessi.
Dalle banche alle aziende di e-commerce alle aziende sanitarie: sono trasversali i potenziali bersagli esposti a questa nuova minaccia che impatta un’ampia fetta del sistema economico e produttivo. Tutte le organizzazioni dotate di tali piattaforme sono potenzialmente vulnerabili a questo tipo di minaccia appena scoperta nel nostro Paese da Yarix.
- attività di incident response, che ha comportato attività di analisi dinamica del comportamento del sistema, consentendo di individuare le richieste illecite operate dall’attaccante; richieste che non venivano in alcun modo registrate dai sistemi di logging. Sulla base di queste evidenze, ricostruendo il flusso dei dati in transito nel sistema, è stato poi possibile riconoscere la compromissione di un modulo di Apache e, di conseguenza, la dinamica di funzionamento del malware;
- attività di assessment, che hanno consentito di identificare la possibile kill-chain seguita dall’attaccante;
- attività di malware analysis, che, grazie a tecniche di analisi statica e dinamica, hanno permesso di “sezionare” il modulo compromesso, identificarne gli algoritmi di cifratura utilizzati e comprendere quindi nel dettaglio ogni sua caratteristica e funzionalità.