Social media usati dagli hacker per mettere in atto attacchi

google microsoft patch sicurzza

Un ricercatore di F-Secure ha pubblicato un nuovo report che evidenzia come gli hacker stiano usando servizi di terze parti per diffondere malware ed estrarre dati dalle vittime

Un ricercatore dei Laboratori di F-Secure ha rilasciato un nuovo report che analizza come gli hacker usino servizi di terze parti per coordinare campagne di malware. Lo studio è stato pubblicato da Virus Bulletin per la conferenza VB2015, e rivela come la crittografia usata dai servizi online come Twitter permetta agli attaccanti – come il gruppo sponsorizzato dallo Stato “The Dukes” – di diffondere malware e rubare dati.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

“In poche parole, gli attaccanti stanno usando alcuni servizi di terze parti per non essere scoperti dalle soluzioni di sicurezza aziendale”, spiega Artturi Lethiö, ricercatore in F-Secure, che ha redatto il report e presentato i suoi risultati a VB2015. “Molti servizi online usano la crittografia per prevenire che i dati vengano intercettati e rubati mentre sono in transito, ma il rovescio della medaglia è che così facendo le misure di sicurezza come i firewall non sono in grado di identificare il traffico malevolo. È una vera e propria sfida per le aziende, e la mia ricerca ha mostrato come attaccanti come i Dukes capitalizzino questo vantaggio nei loro attacchi.”

I Dukes sono un gruppo di attaccanti sponsorizzati dallo Stato che hanno preso di mira governi e organizzazioni collegate ai governi negli ultimi 7 anni (almeno), e sono stati l’argomento di un recente white paper pubblicato dai Laboratori di F-Secure. Il nuovo report di Lethiö fornisce dettagli su come i Dukes effettuino gli attacchi usando servizi di terze parti come un’infrastruttura di “comando e controllo” – essenzialmente uno strumento per coordinare attacchi.

Leggi anche:  Promuovere la cultura della Cybersecurity è fondamentale per ogni MSP

Il report nello specifico sottolinea come i Dukes siano stati capaci di usare Twitter per comunicare con macchine infette, e far loro scaricare malware aggiuntivo. I Dukes sono stati anche in grado di usare Microsoft OneDrive come strumento di estrapolazione di dati, permettendo di rubare quindi dati senza attirare l’attenzione su di sé.

“Usare questi servizi come un’infrastruttura di comando e controllo permette a chi attacca di sfruttare l’accesso alle connessioni di rete date a piattaforme online affidabili”, spiega Lethiö. “Gli attaccanti li usano per comunicare con i dispositivi che loro stessi hanno già infettato, così da non colpire direttamente fornitori di servizi o utenti a caso. I social media offrono semplicemente agli attaccanti uno strumento user-friendly e vantaggioso per coordinare le loro campagne ed essere certi di raggiungere i loro obiettivi.”

Le campagne malware che usano servizi di terze parti sono spesso difficili da rilevare da parte delle aziende perché i dati malevoli scambiati tra gli attaccanti e i loro bersagli sono crittografati e mischiati insieme al traffico legittimo. Il ricercatore di F-Secure afferma che molte aziende non stanno decrittografando il traffico web in modo attivo per differenziare i due tipi di traffico. Uno studio ha rilevato che meno del 50% delle aziende con gateway dedicati a proteggere il web decrittografano il traffico in uscita, e meno del 20% delle organizzazioni con firewall, sistemi di intrusion prevention o appliance UTM decrittografano il traffico SSL in entrata e in uscita.

Ma secondo Jarno Niemelä, Senior Researcher di F-Secure, basarsi su soluzioni di sicurezza che decrittografano il traffico Internet può essere una proposta rischiosa, e le aziende devono essere a conoscenza delle potenziali difficoltà di questo approccio. “Decrittografare il traffico di rete usando tecniche man-in-the-middle può essere costoso e molto complicato da realizzare in modo appropriato. Ci sono stati casi dove gli attaccanti hanno tratto vantaggio da questo approccio per accedere al traffico Internet crittografato della loro vittima, esponendo essenzialmente informazioni confidenziali piuttosto che metterle in sicurezza. Le aziende che adottano questo approccio dovrebbero accertarsi di avere un certificato univoco fornito solo alla loro organizzazione, poiché usare certificati condivisi accresce grandemente il rischio di un attacco man-in-the-middle.”

Leggi anche:  Incubo ransomware: per i CIO è la principale preoccupazione ma l’IT è pronto a difendersi investendo e innovando

Niemelä ha aggiunto che una protezione endpoint affidabile può distruggere questi attacchi al manifestarsi dell’infezione poiché non dipende dalla capacità di rompere o bypassare la crittografia, rappresentando così un modo più sicuro ed efficiente per le aziende di proteggere se stesse. Entrambe le soluzioni di sicurezza per le aziende di F-Secure, Business Suite e Protection Service for Business, usano una tecnologia di protezione endpoint pluripremiata per rilevare e prevenire infezioni malware.