immagine-preview

Set 3, 2018

Kick back – Gli esperti di Yoroi sventano un attacco alle aziende italiane

A che punto è la normativa italiana rispetto alla lotta ai cybercrimine? Una riflessione

Oggi vi racconto di un recente caso di cronaca che offre numerosi spunti di riflessione, parliamo di un’azienda di sicurezza italiana che ha individuato una botnet in rapida espansione utilizzata per attaccare i sistemi delle aziende italiane.

L’azienda di sicurezza italiana è Yoroi, più volte salita alla ribalta per aver individuato minacce complesse prima che potessero offendere i sistemi dei suoi numerosi clienti.

La botnet individuata di recente è utilizzata per la diffusione di un malware tra i più attivi nei recenti mesi, ovvero Ursniff/Gozi

 

Questo codice malevolo è utilizzato dagli attaccanti per compromettere i sistemi delle vittime e rubare informazioni sensibili come credenziali di accesso molteplici servizi online, principalmente bancari.

Il malware utilizzato in questa campagna è stato concepito per evadere i motori di antivirus sviluppati da aziende quali Kaspersky Lab, Panda Security, and Trend Micro.

 

Il kick back di Yroi

Yoroi ha analizzato la struttura malevola ed è riuscita ad infiltrarne i sistemi per raccogliere informazioni preziosi sul botmaster e l’evoluzione della botnet. Tecnicamente questa operazione è definita kickback ed è qualcosa di differente dall’hackback, termine abusato da molti e che consiste nell’hacking dell’attaccante e che può persino arrivare all’abbattimento (shutdown) della struttura che offende.

Yoroi, nella persona del suo fondatore Marco Ramilli ha prontamente avvisato le autorità e le strutture preposte alla salvaguardia dei sistemi nazionali e la risposta alle emergenze cibernetiche.

L’operazione di kickback ha reso possibile collezionare informazioni preziose sulla botnet come il numero di macchine infette, la natura dell’attaccante, la progressione della botnet nel tempo nonché l’individuazione della popolazione colpita.

Dietro la botnet vi è un gruppo di criminali informatici professionisti, con ogni probabilità di origine in Europa dell’Est (Macedonia o Russia).

 

L’individuazione delle vittime

L’analisi degli indirizzi IP delle macchine infette ha consentito ai ricercatori determinare che la maggior parte delle vittime è negli Stati Uniti ed in Canada. Purtroppo, anche l’Italia è tra i principali paesi presi di mira dal gruppo criminale, in particolare il settore del lusso e quello sanitario, insieme a regioni e comuni.


Capita di sovente di imbattersi in botnet, ma non sempre si riesce ad infiltrarne la struttura come fatto da Yoroi. Badate bene, sottolineo il termine infiltrare, in quanto Marco Ramilli ed il suo staff di esperti non ha in alcun modo alterato il funzionamento della botnet con il suo intervento ed ha sempre operato condividendo le informazioni raccolte che le autorità preposte che le utilizzeranno per concludere con successo l’operazione.

Sebbene la cosa possa spaventare molti ed essere strumentalizzata da tanti, la pratica è tutt’altro che poco comune. Altre aziende di sicurezza in situazioni simili, e probabilmente anche nella medesima, in possibilità di accedere alla struttura malevola lo hanno fatto per riportare quanto scoperto alle attività.

 

Una botnet complessa

Quando ho sentito Marco Ramilli, mi ha confermato che la botnet è estremamente complessa, presenta 3 livelli di comando e controllo ed un livello spinto di automazione, insomma il gruppo criminale dietro di essa sembrerebbe essere composto da esperti.

 

“Ritendo possa trattarsi di un gruppo criminale molto ben strutturato, deduzione che possiamo fare in base all’analisi dei tool che utilizza ed al livello di complessità e diversificazione della struttura di comando e controllo. Abbiamo individuato ben tre livelli di comando e controllo ed il codice malevolo presenta un livello di offuscamento spinto”. Spiega Marco Ramilli, fondatore di Yoroi. “Considerata la gravità dei furti di credenziali di pagamento abbiamo deciso di avvisare subito la polizia. Ma la rete che abbiamo infiltrato è fatta probabilmente di milioni di computer zombie distribuiti in tutto il mondo. Siamo agli inizi, perciò l’abbiamo chiamata ‘Operazione Turizao’, che vuole dire ‘canna da pesca’ in giapponese”.

 

Il CERT nazionale ed il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) sono già al lavoro.

Insomma, il gruppo criminale, o quanto mento alcuni suoi membri, potrebbe avere le ore contate.

Una riflessione

A questo punto vorrei però lanciare un sasso nello stagno e sollevare una discussione estremamente delicata su come un’azienda di sicurezza può comportarti in circostanze come quelle in cui si è trovata Yoroi.

In molti paesi, soprattutto quelli anglosassoni da tempo si discute di hacking back e di quali strutture siano deputate a colpire le strutture degli attaccanti. È chiaro che occorra rianalizzare completamente l’attuale quadro normativo, soprattutto in Italia, fornendo alla magistratura le competenze necessarie alla valutazione di casi per i quali persino noi esperti del settore assumiamo spesso posizioni divergenti.

Come operare quindi se si individua un attaccante intento ad offendere in un contesto in cui gli attacchi sono asimmetrici ed istantanei per definizione ed in cui persino alcuni secondi di inattività potrebbero causare seri ed irreparabili danni alle vittime?

 

L’attuale contesto normativo è palesemente indietro, non è pronto a giudicare coloro che eticamente operano con l’intento di proteggere le strutture colpite, anzi il rischio è che da paladini ci si trovi ingiustamente criminalizzati.

 

Abbiamo letto che questa campagna ha colpito anche cliniche e ospedali, strutture in cui un guasto ad un sistema informatico potrebbe avere gravissime conseguenze.

 

Cosa accadrebbe se un’azienda intervenisse in tempo reale per scongiurare un attacco contro un’infrastruttura critica?

Vi faccio un esempio, siamo in strada ed assistiamo ad una aggressione a mano armata. Tutto avviane rapidamente, interveniamo, ne nasce una colluttazione e l’aggressore viene ferito gravemente. Cosa prevede l’iter legale?

Dobbiamo scongiurare ovviamente il far west digitale, ma è chiaro che sono molti gli aspetti legali ancora da sviscerare.

Ritornando al kick back, in quali condizioni è consentito?

Accettiamo tutti una differenza tecnica tra kick back e hack back?

L’accesso (sottolineo accesso e non altro) al command and control di una botnet in uso per un attacco contro infrastruttura critica è equiparabile all’accesso ad un qualunque sistema legittimo?

 

La situazione è tutt’altro che semplice ed è chiaro che il tanto dibattuto Articolo 615 ter del Codice penale (R.D. 19 ottobre 1930, n.1398) “Accesso abusivo ad un sistema informatico o telematico” da solo non è sufficiente ad una analisi di scenari molto complessi. Lo stesso articolo di legge si presta a molteplici interpretazioni quando ci si confronta con temi spinosi come hacking etico, hacking back e kickback.

 

Sarebbe auspicabile che noi tutti si cominci a lavorare insieme per fornire al legislatore maggiori strumenti per l’analisi di contesti di non facile comprensione. Invece di spararci addosso l’un l’altro bisognerebbe assumere un’atteggiamento collaborativo e propositivo, questo è quello che auspico.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter