4. La Cyber War
Quali danni potrebbe arrecare a
un paese?
Attacco ai sistemi e infrastrutture critiche di un paese
sfruttando unicamente le reti informatiche.
14. ● 2006 Governo Bush
● Attacchi digitali contro
Iran
● Partecipazione Governo
Israeliano
● Sabotaggio centrali
nucleari Natanz
● Danneggiare le turbine
Operation Olympic Games
15. Stuxnet
● Individuato nel giugno
2010
● Target: Sistemi SCADA
● Si diffonde via USB
(solitamente i sistemi
SCADA non sono collegati
a Internet)
● Integra 2 certificati
“trusted”
● Sfrutta 4 0day
● Password hard-coded
nota
● Realtek è il primo
certificato “trusted”
recovato il 16 luglio
● Il 17 luglio una nuova
variante presenta il
certificato Jmicron
16. Evidence
● Dall'analisi investigativa viene individuato il valore numerico
“19790509” scritto nel registro di sistema Windows che si sospetta
corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979”
o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto
uomo d'affari ebreo conosciuto in Iran.
● La data di decesso / autodistruzione era fissata per il “26/06/2012”.
17. Duqu
● Individuato nel settembre
2011
● Target: valutare lo stato
del programma nucleare
iraniano
● Funzione di keylogger
● Sfrutta 0day
● Lo scopo è quello di
carpire informazioni
● Usa certificati rubati
● L'analisi
comportamentale lo
riconduce a stuxnet
18. Gauss
● Scoperto nel 2011, poco dopo Duqu.
● Rilevato in Libano, Israele, Palestina, USA, Emirati
Arabi.
● Progettato per il furto di cookie, credenziali e conti
bancari.
● Lavora con moduli aggiornati via Internet per
ampliare le proprie funzioni.
● Kaspersky ipotizza sia stato creato dagli stessi
autori di Stuxnet e Duqu.
19. Mahdi
● Scoperto nel febbraio
2012
● E' stato battezzato
“Mahdi” per via di una
stringa ricorrente nel
codice del malware (fa
riferimento al Messia
Islamico)
● Sfrutta bug di Word e
Power Point
● In questo caso non si
conoscono gli autori
● Ha funzione di keylogger
e cattura le schermate
● Sottrae file audio, testo e
immagini
20. Flame
● Individuato per la prima
volta in aprile 2012
● Si propaga tramite USB
● Usa falso certificato
● Ha funzioni di keylogger
● Sottrae documenti di
testo e DWG (progetti
Autocad)
● Cattura immagini
● Registra audio
(conversazioni skype)
● Rilevate somiglianze con
Stuxnet e Duqu
● Obiettivo: spionaggio
industriale
21. Flame 2008
Dall'analisi di uno dei
componenti utilizzato da
Flame, il file
mssecmgr.ocx riporta
come timeDatestamp la
data del 9 dicembre 2008
22. Wiper
Un soldato in missione sul
campo di battaglia per
ripulire le tracce
● Cancella le tracce di
Stuxnet e Duqu
● Alta priorità alla
rimozione dei file .PNF
(usati da Stuxnet)
● Rimozione dei dati utili ai
tecnici forensi per
ottenere prova del reato
(Siamo ancora nel 2012)
29. Hesperbot Banking Trojan
● Rilevato nel settembre 2013
dai ricercatori ESET
● Target: operazioni di online
banking
● Il file di configurazione
presenta di default URL di
banche della Repubbica Ceca,
Turchia e Portogallo
● Sulla scia di ZeuS e SpyEye
intercetta e modifica il traffico
HTTP e HTTPS
● Sfrutta la funzione di
webinject e from-grabber
● Usa moduli e plugin
● Dispone di ua componente per
i sistemi mobile: Symbian –
Blackberry - Android
32. Social (network) engineering
Lo scorso anno, attraverso falsi profili facebook di donne
attraenti i talebani sono riusciti ad ottenere un contatto diretto
con le truppe australiane riuscendo a carpire segreti militari.
33. Turista fai da te? No Alpitour?
“Facciamo due conti: Alpitour: 23.309 fan,
Villaggi Bravo 51.570, Francorosso 17.335 e
Viaggidea 32.417 fan. Se li sommiamo
abbiamo [..] abbiamo 124.631 persone
esposte a link malevoli. Un ottimo
risultato.”
http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/
34. Come sta reagendo l'Italia?
Il nostro paese è ancora fin troppo legato al vecchio concetto di
guerra. Banche, istituti e agenzie governative, industria militare,
associazioni politiche, università, sono costantemente sottoposti
ad attacchi informatici, ogni giorno sempre più complessi e
articolati. Motivo per cui anche l'Italia si è dotata di CSIRT.
Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.
35. Computer Security Incident Response Team
http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport
36. Computer Security Incident Response Team
✔
Gruppo di professionisti IT Security che aiuta gli enti ad
attenuare e prevenire gli incidenti informatici.
✔
Gestiscono e forniscono risposta agli incidenti informatici.
✔
Giuridicamente preparati per affrontare questioni legali.
✔
Sempre aggiornati sulle nuove vulnerabilità.
38. Governo.it
“Gli attacchi alla sicurezza informatica negli ultimi anni
hanno avuto una crescita esponenziale. Assinform stima che
il 40% degli attacchi richiedono almeno 4 giorni per
essere risolti. Nel 90% dei casi l’attacco ha successo a
causa dell’errata configurazione del sistema di sicurezza
e per la mancanza di competenze specifiche. I costi
sostenuti da privati e PA per proteggersi sono consistenti:
Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel
2012 e 86 (stimati) entro il 2016.”
http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337
39. Ancora una firma qui...
Banche, Università,
Aziende che erogano
servizi attraverso la rete
Internet non
ammetteranno mai di aver
subito attacchi che hanno
compromesso - o hanno
rischiato di
compromettere -
informazioni riservate e/o i
dati degli utenti/clienti.
“La banca declina ogni responsabilità...”
46. ● Violazione e compromissione
di web server e siti legittimi.
● Inclusione di codice.
● Largo uso di exploit e 0day
vulnerability.
Processo di reclutamento Zombie #1
49. Processo di reclutamento Zombie #2
● Download ed esecuzione
codice maligno.
● Controllo della macchina.
● Comunicazione con C&C.
● Esecuzione comandi da
remoto.
Un esempio per tutti SpyEye e
ZeuS.
50. SpyEye Story
● La prima versione risale al 2009
● Progettato dai Russi
● 500$ al mercato nero
● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS
● A differenza di ZeuS, le prime
versioni di Spyeye risultano
rumorose.
● Non ha un target ben definito.
● Non usa una whitelist.
● Non è stata prevista la funzione di
webinject.
52. Offerte Speciali
● 300$ senza modulo VNC
● 800$ versione completa
Il vero business sono i
moduli aggiuntivi
– In particolare le richieste
personalizzate
60. Altri modi per monetizzare
Innovazioni subdole per stracciare la concorrenza
– Individuazione ed estrazione automatica di carte di
credito dalle macchine compromesse
– Generazione di vendite fasulle su negozi online
61. BillingHammer Feature
Il botmaster si procura software
freeware, lo rinomina e lo mette
in vendita su apposite
piattaforme di distribuzione:
– ClickBank
– FastSpring
– Esellerate
– SetSystems
– Shareit
Dal pannello di controllo SpyEye è
possibile gestire task automatici
Il botmaster può generare un task
che utilizza i numeri di carte di
credito rubate in modo che venga
eseguita una azione attraverso
Internet Explorer che a intervalli
definiti lanci la compilazione dei
campi sul sito del negozio online
per completare l'acquisto.