Archivi tag: malware

Operazione “Shady RAT”: cyber-spionaggio globale che perdura da cinque anni

Da una notizia apparsa su CNET News si è venuto a conoscenza della cosiddetta Operazione Shady RAT: tale è la definizione di Dmitri Alperovitch, vice-presidente della divisione di ricerca delle minacce di McAfee, per un’operazione di cyber-spionaggio globale paragonabile a Operazione Aurora, che nell’anno passato fu condotta contro un centinaio di macchine selezionate tra cui i server di Google.

L’attacco Shady RAT sarebbe ancora in corso, ma non è ancora chiaro chi possa essere il mandante, tuttavia i sospetti di Alperovitch si proiettano su un’azione sponsorizzata direttamente dalla Cina, in quanto non colpita dagli effetti di Operation Shady RAT; Cina che potrebbe avere fornito agli hacker gli obiettivi da colpire:  soggetti istituzionali, militari, aziende site per lo più negli Stati Uniti, o distribuite tra paesi quali Canada, Danimarca, Germania, Indonesia, Singapore, Corea del Sud, Vietnam, od organizzazioni come le Nazioni Unite e il Comitato Internazionale Olimpico, dove le cyber-spie hanno avuto modo di trafugare informazioni riservate e controllare server di ogni tipo e genere.

Le organizzazioni prese di volta in volta di mira contemplano per lo più agenzie governative e statali (USA), contractor della Difesa, governi, società no-profit, gruppi di pressione, lobby, società private operanti soprattutto nel settore delle energie rinnovabili. Ad ogni modo, come sempre più spesso negli ultimi accade, l’attacco è partito con la più classica campagna di phishing via posta elettronica, a cui è seguita la sistematica installazione di un malware sui personal computer dei quantomeno disattenti impiegati, e a breve distanza di tempo la vera e propria “migrazione” del controllo da remoto a una diversa zona della rete interna.

Gli esperti di McAfee sono tuttora al lavoro a strettissimo contatto con quelli della Casa Bianca per cercare di fermare o quanto meno neutralizzare gli effetti dell’attacco. Operation Shady RAT sarebbe stata addirittura avviata ben cinque anni fa, poco prima delle Olimpiadi di Pechino 2008: le attività dell’operazione avrebbero già colpito oltre settanta organizzazioni in almeno quattordici Paesi del mondo, ed il culmine degli attacchi si è gradualmente raggiunto proprio nei primi mesi del 2011.

McAfee sostiene come non sussistano elementi per cui ritenere che gli attaccanti fossero a caccia di informazioni sensibili da rivendere sul mercato dell’underground, quanto piuttosto sembrerebbe che fossero alla ricerca di dati di intelligence eventualmente utili per poter accrescere la capacità di competizione di un paese (la Cina, appunto) nei confronti delle nazioni più in concorrenza nei vari ambiti.


ValidEdge MIS 1200

Il 14 Giugno 2011 a Vienna in Austria in occasione dell’annuale Forum of Incident Response and Security Teams (FIRST), ValidEdge, tra le principali società indirizzate alle soluzioni per l’analisi del malware, aveva annunciato di offrire dimostrazioni del proprio Malware Intelligence System, un potente analizzatore di malware. Durante il forum, i visitatori che avessero voluto erano stati invitati a portare dei propri campioni di malware per l’analisi, e ValidEdge ne avrebbe potuto dimostrare dal vivo l’analisi, durante all’evento.

L’appliance per la sicurezza ValidEdge MIS 1200, possiede al proprio interno un rapido e preciso analizzatore di malware che offre una tecnologia capace di elaborare in tempo reale enormi volumi di codice potenzialmente dannoso, riuscendo anche a rilevare le tracce di malware latente prima ancora che questo venga eseguito e possa causare problemi.

Il MIS 1200 fornisce un ambiente sicuro su cui esporre malware, permettendo ai response team di comprendere pienamente l’intenzione del malware e anticipare l’obiettivo prefissato dallo stesso. E’ anche capace di individuare eventuali bombe logiche celate nel malware, in attesa di un trigger per causare danni in un secondo momento. Una volta che il nuovo malware è stato identificato, i professionisti della sicurezza riceveono diversi report dettagliati e attuabili sul comportamento del malware. Con queste informazioni, i responder sono al meglio attrezzati per ripulire i pc zombie e ripristinare sistemi compromessi.

Utilizzando apparecchiature ValidEdge, le entità sotto attacco di malware non avranno più la necessità di attendere gli aggiornamenti delle firme, e ciò consentirà ad esse in tempo reale di portare a termine la giusta politica e i miglioramenti di sicurezza per rafforzare ulteriormente la propria organizzazione dalle minacce future,

Il motore di analisi integrato nel cuore del MIS 1200 è così all’avanguardia che è stato scelto finanche da SonicWALL ed integrato sulle proprie appliance di sicurezza


Protezione da malware di ingegneria sociale, offerta dai più utilizzati web browser

Nell’aprile del 2011 NSS Labs ha effettuato il primo test sulla protezione offerta dai browser Web contro il malware di ingegneria sociale rivolto contro gli utenti europei. Tale malware continua a rappresentare la minaccia più comune alla protezione che gli utenti di Internet devono affrontare. Studi recenti dimostrano come sia quattro volte più probabile essere convinti a scaricare malware che rimanere coinvolti in un exploit.

Dai test effettuati su (in rigoroso ordine alfabetico):

Apple® Safari® 5
Google Chrome™ 10
Mozilla® Firefox® 4
Opera 11
Windows® Internet Explorer® 8
Windows® Internet Explorer® 9

contrariamente a quanto comunemente era lecito attendersi, i vincitori (a brevissima distanza l’uno dall’altro) sono risultati essere i due browser di Microsoft, con in testa l’ultima versione del browser web di Redmond.

Per maggiori informazioni e dettagli sulla metodologia dei test, è possibile leggere il documento ufficiale fornito da NSS Labs.