I malware non vengono rilevati e le tracce degli attacchi spariscono al primo riavvio dei computer

Le aziende di 40 paesi in tutto il mondo hanno subito attacchi informatici “fantasma”, in cui sono stati usati solo software legittimi. Lo hanno scoperto gli esperti di Kaspersky Lab. In particolare, strumenti diffusi di amministrazione e per il penetration-testing. I tools non hanno scaricato i malware sugli hard disk, ma li hanno nascosti nella memoria RAM. Questa tecnica ha garantito due vantaggi agli hacker. Da una parte non essere rilevati dai sistemi di difesa e dall’altra lasciare poche o nulle tracce delle operazioni, che sono state praticamente cancellate al primo reboot dei sistemi bersaglio. Le nuove tattiche malevoli sono emerse in primis alla fine del 2016, quando alcune banche della Comunità degli Stati Indipendenti (CIS) hanno rilevato la presenza di un software per il penetration-testing nella memora dei loro server, quando non c’era motivo che vi fosse.

Non sono attacchi isolati, ma una cyber offensiva su vasta scala

Kaspersky ha scoperto che il codice del programma Meterpreter era stato combinato con script legittimi di PowerShell e di altre utilities. Questo, poi si era trasformato in un codice malevolo, nascosto nella memoria e che in maniera invisibile ha acquisito credenziali e password degli amministratori di sistema. A seguito di ciò, gli hacker hanno potuto assumere il controllo dei computer bersaglio. Da quell’incidente, Kaspersky ha scoperto che non si trattava di un evento isolato. Ma di una vera e propria offensiva su vasta scala. Di fatto, questa ha colpito oltre 140 network aziendali in diversi settori, in tutto il mondo. La maggior parte delle vittime geograficamente è collocata negli Usa (21). Questi sono seguiti da Francia (10), Ecuador (9), Kenya (8), UK e Russia (7). Colpiti anche Israele e Brasile (6), Uganda (5) e Turchia (4). In tutto si sono registrate infezioni in 40 paesi.

Non è chiaro chi ci sia dietro agli attacchi, è certo solo che puntavano ai processi finanziari

Non è chiaro chi ci sia dietro agli attacchi. Si sa solo che in tutti i casi l’obiettivo è stato accedere ai processi finanziari dei bersagli e che i responsabili sono ancora attivi. L’uso di codici di exploit open sources, di utilities di Windows comuni e di domini sconosciuti, infatti rende impossibile identificare la fonte degli attacchi informatici fantasma. Gli unici possibili sospettati, ma non ci sono certezze, sono i gruppi cyber criminali GCMAN e Carbanak. Entrambe le formazioni adottano approcci simili e attaccano tradizionalmente i sistemi bancari/finanziari per trarre profitti illeciti. Il fatto che il malware sia nella RAM, però, ha complicato la vita ai ricercatori. Appena si riavvia il computer, infatti, questa viene automaticamente cancellata con tutto il suo contenuto. Di conseguenza, trovare tracce da cui far partire le indagini è impossibile.

La nota di Kaspersky Lab sull’ondata di attacchi informatici fantasma