Abbiamo quindi chiesto un parere su questa strana campagna di spionaggio, basata tutta sull'indurre l'utente ad autoinfettarsi, a Luca Sambucci, Direttore delle Operazioni di ESET Italia, per cercare di capire meglio come si è sviluppata e perché.

D: È stata fatta qualche ipotesi di attribution su questa campagna? Almeno da un punto di vista geografico?

R: È presumibile che la base delle operazioni si trovi in Russia. Molti centri di comando e controllo (C&C) del malware fanno riferimento a IP e computer dislocati sul territorio russo (altri ancora sono attivi in Germania, negli Stati Uniti e in altri Paesi). Uno di questi C&C russi è il noto sito Truecryptrussia.ru, che oltre a distribuire una versione in russo del software di crittografia open source Truecrypt, in determinati casi fa scaricare ai richiedenti una build infetta, un classico caso di Trojan horse.

Diverse campagne di infezione inoltre avevano dei codici identificativi che lasciano pensare ad hacker russofoni, avendo usato ad esempio "krim" per la Crimea, e una campagna in particolare ha attaccato un sistema di marketing multilivello molto noto in Russia, MMM, ma pressoché sconosciuto all'estero. Vi è da sottolineare tuttavia che usare macchine localizzate in un Paese o adottare un certo linguaggio non significa automaticamente che gli attaccanti appartengano a quella zona geografica. E' noto come diversi attacchi operati da hacker nordcoreani, per fare un esempio, partissero da un server in Austria.

D: In tutta la campagna non sembrano esser stati usati exploit per l'installazione dei malware. Potrebbe essere indice di scarse risorse (o capacità tecniche) da parte del gruppo che sta gestendo il tutto?

R: È corretto notare come tutti i vettori di infezione di questa campagna facciano uso in varie forme di social engineering. Anche le infezioni da chiavetta USB devono essere fatte partire dall'utente che – ingannato – crede di aprire la directory del drive, mentre in realtà lancia un eseguibile infetto. Il mancato uso di particolari exploit o – ancora meglio – di "zero day", tende a far pensare a un'azione svolta con risorse limitate, che però dobbiamo considerare come la normalità nell'ambito del cybercrime e della cyberdifesa. Gli exploit e soprattutto gli zero day non sono la norma in questi casi, sono l'eccezione che fa rimbalzare ancora più prepotentemente il caso sui giornali.

Non dobbiamo dimenticare che più si fa uso di un dato exploit o zero day, maggiore è il rischio che questo sia scoperto e quindi chiuso con una patch. Usare gli exploit in un certo senso li "logora", aumentando il rischio di essere scoperti e quindi di rendere inutile un'arma preziosa e probabilmente costosa. In altre parole, per "sacrificare" un zero day devo avere un obiettivo che voglio raggiungere a tutti i costi, ad esempio una determinata base militare o una centrale nucleare. Un'operazione come Potao colpisce non tanto per i vettori di infezione, quanto per la sua vastità, il profilo delle vittime, la durata (è attiva da quattro anni), un certo grado di sofisticazione nell'uso del social engineering (identificazione delle vittime e dei loro numeri di cellulare) e per le ramificazioni inaspettate (compromissione di una versione di Truecrypt).

D: Si sa nulla dei documenti sottratti tramite questa campagna che potrebbe darci un indizio sullo scopo della stessa?

R: Non è stata trovata traccia per ora dei documenti rubati, ed è presumibile pensare che le organizzazioni vittima non disponessero di un sistema di leaking prevention che consenta di avere una lista dei file trasferiti all'esterno del computer.

D: Qualche idea su perché alcuni siti erano esclusivamente in inglese anche se le vittime erano cmq di lingua russa?

R: Anzitutto alcuni siti si mascheravano come siti postali internazionali (uno di essi si spacciava come "Italy Post") quindi era lecito pensare che fossero in inglese. L'idea che mi sono fatto, dopo aver passato un po' di tempo a contatto con la cultura russa, è che si presume che una comunicazione o un pacco proveniente dall'estero, ad esempio l'Italia, sia più eccitante e meno pericoloso di qualcosa proveniente da luoghi come la Russia o l'Ucraina, verso i quali gli stessi abitanti hanno molta più diffidenza. Nella logica dell'hacker qualsiasi dettaglio è il benvenuto se serve a far abbassare ulteriormente la guardia alle potenziali vittime, che non pensano di fare nulla di male aprendo semplicemente un file Word o Excel, soprattutto se contiene informazioni su un presunto pacco dall'Italia. Visti i risultati, c'è da pensare che abbiano avuto ragione.

Insomma, il vecchio detto "spesso il problema si trova tra la sedia e il monitor" è sempre più attuale. Non dimentichiamo, infatti, che la maggior parte degli utenti non ha una preparazione tecnica sufficiente a fargli riconoscere dei trucchi che, in alcuni casi, potrebbero trarre in inganno anche chi di informatica si intende.

Solo la formazione può aiutare le aziende a evitare questo tipo di attacchi, senza sottovalutare la necessità di avere sempre una suite di sicurezza aggiornata installata.