About these ads

Archive

Archive for January 16, 2011

Virus e Servizi Segreti (Ancora Su Stuxnet)

January 16, 2011 2 comments

Il complesso di Dimona (Foto Getty Images)

E’ di questa mattina la notizia, secondo il New York Times, che il famigerato malware Stuxnet, il virus delle centrali nucleari, sarebbe stato sviluppato da un team composto da Israeliani e Americani (con la collaborazione indiretta degli ingegneri tedeschi di Siemens) presso il complesso israleliano di Dimona, nel bel mezzo del deserto del Negev.

Lo sviluppo di questo terribile malware sarebbe partito nel 2009. Il virus, assurto alla ribalta nel 2010, ha messo in ginocchio un quinto delle centrali nuclerari iraniane ed avrebbe raggiunto parzialmente il suo scopo (molte centrifughe sono state arrestate prima dell’insorgere di danni irreversibili) secondo il quotidiano d’Oltreoceano, riuscendo però a tardare la realizzazione della bomba sino al 2015.

Stuxnet, che prefigura il modello di infezione informatica Advanced Persistent Threat, che nel 2011 turberà i nostri sogni, aveva da subito attirato l’attenzione dei ricercatori di tutto il mondo sia per la sua complessità tecnica (7 vettori di infezione, l’utilizzo massiccio di vulnerabilità 0-day, la possibilità di falsificare certificati ed infine la conoscenza approfondita della tecnologia Siemens relativa alle centrifughe colpite), sia per i presunti richiami all’Antico Testamento più o meno nascosti all’interno del codice.

La complessità alla base del malware è presumibilmente dovuta al fatto che all’inizio del 2008, Siemens avrebbe collaborato con uno dei principali laboratori statunitensi, in Idaho, al fine di identificare le vulnerabilità dei computer che controllano le macchine industriali vendute da Siemens in tutto il mondo. Macchine Industriali che l’Intelligence d’Oltreoceano aveva identificato essere componenti chiave degli impianti di arricchimento dell’Uranio iraniani.

Siemens sostiene comunque che il programma (confermato dall’Idaho National Laboratory) era parte delle attività di routine volte a rendere sicuri dai Cyber-attacchi i propri sistemi che presiedono alle Infrastrutture Critiche, e ad ogni modo non avrebbe dato all’Idaho National Laboratory, parte del Dipartimento dell’Energia responsabile per gli armamenti nucleari USA, la possibilità di identificare i buchi del sistema utilizzati da Stuxnet nel 2010. I risultati sono stati riassunti in questa presentazione mostrata a luglio 2008 al Siemens Automation Summit presso Chicago. Il laboratorio americano, interrogato sulla questione, si è difeso indicando che la presentazione, sebbene contenesse schemi dettagliati, non mostrava come utilizzare le vulnerabilità, rifiutandosi nel contempo di fornire indicazioni relativamente agli aspetti classificati delle attività effettuate congiuntamente con Siemens. Siemens, dal canto suo, ha commentato la nitizia indicando che la presentazione non recava informazioni relative all’ubicazione delle centrifughe. Sta di fatto che la presentazione è recentamente scomparsa dal proprio sito Web.

L’origine politica del progetto partirebbe dagli ultimi mesi dell’Amministrazione Bush, che a gennaio 2009 avrebbe autorizzato (secondo il NYT) un programma nascosto per sabotare i sistemi elettronici ed informatici del complesso iraniano di Natanz, il principale centro di arricchimento dell’Uranio. Al suo insediamento, il Presidente Obama, appena informato del programma, ne avrebbe accelerato lo sviluppo secondo fonti dell’Amministrazione vicine agli strateghi responsabili dei piani volti a contrastare la strategia nucleare iraniana.

Naturalmente gli israeliani, preoccupati dai pericolosi sviluppi della situazione iraniana, non si lasciarono sfuggire l’occasione sviluppando una strategia di contrasto della minaccia iraniana congiunta con gli USA e differente da quella militare sostenuta sino ad allora.

Stuxnet o non Stuxnet, recentemente sia il Segretario di Stato Americano Hilary Clinton, sia il direttore uscente del Mossad, Meir Dagan, hanno confermato separatamente (rispettivamente il 10 e 7 gennaio) la propria convinzione di un ritardo (o meglio di un arretramento di alcuni anni) nei piani di sviluppo nucleare dell’Iran. Ma mentre la signora Clinton ha fatto riferimento alle sanzioni pilotate dagli USA, sanzioni che avrebbero reso difficile all’Iran procurarsi i componenti, e più in generale commerciare con altri paesi della comunità internazionale; il Signor Dagan ha annunciato al Knesset (il parlamento isreaeliano) l’improvviso insorgere di difficoltà tecnologiche in grado di ritardare la preparazione di una bomba iraniana sino al 2015. Da notare che sino ad allora gli israeliani erano stati fermamente convinti dello stato avanzato di realizzazione del programma nucleare iraniano e che il Mossad è stato accusato dall’Iran di essere la longa manus dietro agli attentati in cui è rimasto ucciso Majid Shahriari, scienziato nucleare iraniano e Fereydoon Abbasi, altro scienzato nucleare, è rimasto ferito.

Gli argomenti della spy story ci sono tutti: CIA, Mossad, lo spettro della Guerra Nucleare, il tutto condito con un pizzico di malware, Cyberwar e… perchè no di Sacre Scritture. Sarà davvero l’ultima puntata della storia?

About these ads

Zeus E SpyEye: L’Unione Fa La Forza

January 16, 2011 Leave a comment

Una delle previsioni di sicurezza per il 2011 vedeva come protagonista l’aggressiva sopravvivenza delle Botnet (previsione esplicitata da McAfee e Trend Micro). In particolare McAfee si era particolarmente spinto, profetizzando l’unione dei due bot di tipo Trojan “rubatutto” più pericolosi: Zeus e SpyEye.

Per dare una semplice idea, un Bot, abbreviazione di RoBot è un software malevolo un grado di eseguire azioni sulla macchina infetta come un robot informatico (da cui deriva il nome). La questione (poco) divertente dei due citati esempi di Bot consiste nel fatto che non solo sono in grado di rubare informazioni dell’utente dal computer infetto (ad esempio numeri di carte di credito, informazioni del browser, etc.), ma una volta infettata la vittima la trascinano suo malgrado all’interno di una rete di altre malcapitate macchine infette che possono essere loro malgrado utilizzate per compiere azioni illecite (ad esempio l’invio di spam).

Per dare un esempio della gravità del fenomeno, nel poco invidiabile palmares di Zeus rientrano:

  • Furto di informazioni nel 2007 presso il dipartimento US dei trasport;
  • 74000 account FTP rubati a giugno 2009 presos i server di aziende del Calibro di Bank of America, Monster, NASA, Oracle, Cisco, Amazon;
  • Una rete di Botnet composta da circa 3.6 milioni di macchine compromesse nei soli Stati Uniti, resasi protagonista dell’invio di circa 1.5 milioni di messaggi di phishing su Facebook (che rimandano ad un falso sito dove l’ignara vittima scarica il malware e si infetta).

Cosa si può fare per rendere ancora più virulento il malware? Semplice! Unirsi con il malware concorrente più diffuso, SpyEye, e rendere disponibile un kit unico che consenta di crearsi il proprio superbot unione dei due.

Siamo appena entrati nella terza settimana di gennaio e presso il “mercato nero” (con data 11 gennaio 2011) sono già comparsi i primi toolkit del malware combinato:

Il malware è stato messo in circolazione da tale hardesell (evoluzione “furba” dell’harderman autore si SpyEye) ed offre le funzioni di:

  1. Rilevamento delle password con tecniche di Brute Force
  2. Notifica Jabber
  3. Modulo VNC
  4. Auto Diffusione
  5. Auto Aggiornamento
  6. Generatore delle componenti non rilevabile al 100%
  7. Nuovo Sistema di Screenshot

Tutto questo (sgradito) ben di Dio è disponibile, al mercato nero, alla modica cifra di 300$ senza il modulo VNC e la funzione di iniezione file, mentre la versione completa costa 800 $. Cosa sorpnendente, se si considera che il prezzo previsto per la versione combinata si aggirava attorno ai 4000 $.

Prepariamoci…

[Segnalazione dal Blog McAfee]

Follow

Get every new post delivered to your Inbox.

Join 3,088 other followers