SICUREZZA DIGITALE

Allarme virus informatico cinese: occhio a “Taidoor”

Nessuno (in Italia) ne parla, ma la situazione è drammaticamente seria

“A volte ritornano” avrebbe titolato Stephen King. In questo caso riaffiora un pericolosissimo virus che ha fatto la sua prima apparizione ben dodici anni fa.

Il malware in questione – “Taidoor” il suo nome – è uno dei più efficaci sistemi fraudolenti per accedere da remoto ai più diversi dispositivi elettronici. A rispolverarlo – con idonei accorgimenti migliorativi – sarebbe stato il Governo cinese.

Per lanciare l’allarme si sono scomodati la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e il Department of Defense (DoD o, Pentagono come lo si chiama comunemente, che per l’occasione ha schierato il Cyber Command). L’azione congiunta – eseguita ai più alti livelli istituzionali (forse si potrebbe prendere esempio) – si è concretizzata in un MAR, ovvero in un Malware Analysis Report identificato con le sigle AR20-216A e MAR-10292089-1.v1 (che chi è curioso può trovare qui nella sua versione integrale).

Gli specialisti di Pechino starebbero adoperando varianti di un virus “storico” e la risposta americana non si è fatta attendere. Il “MAR” appena distribuito mira a consentire la difesa della rete ed a ridurre l’esposizione alle attività informatiche dannose del governo cinese, offrendo suggerimenti di azioni di risposta e raccomandando tecniche di mitigazione che gli addetti alla sicurezza di enti pubblici, aziende, organizzazioni e anche semplici utenti dovrebbero porre in essere con la massima sollecitudine.

Particolarmente aggressivo, “Taidoor” è in grado di eseguire comandi da remoto (agendo su apparati informatici in ogni angolo del mondo come se l’operatore fosse seduto lì alla tastiera, raccogliere i dati del file system, acquisire schermate ed eseguire le operazioni sui file necessarie per esfiltrare le informazioni raccolte.

L’intelligence cinese – secondo Trend Micro – ha già adoperato questa soluzione nel 2012 inoltrando via mail allegati in formato pdf realizzati ad hoc per colpire il Governo di Taiwan. FireEye nel 2013 aveva definito Taidoor una “minaccia in costante evoluzione, persistente” e aveva rilevato il suo abbinamento con un “downloader” che faceva scaricare il malfare in un secondo momento per by-passare le protezioni antivirus.

Lo scorso anno NTT Security ha trovato le prove della backdoor utilizzata contro organizzazioni giapponesi tramite l’invio di documenti di Microsoft Word opportunamente manipolati.

In attesa (speriamo breve) che i CERT (Computer Emergency Response Team) italiani (da quelli pubblici del DIS, del MISE e dell’AGID a quelli privati di Leonardo & C.) forniscano indicazioni utili, vale la pena seguire le raccomandazioni già diramate dalla Cybersecurity and Infrastructure Security Agency statunitense.

La CISA raccomanda agli utenti e agli amministratori di mantenere aggiornate le patch del proprio sistema operativo, disabilitare i servizi di condivisione di file e stampanti, applicare una solida politica di password e prestare attenzione quando si aprono gli allegati e-mail.

In particolare qualsivoglia eventuale modifica alla configurazione (dai grandi sistemi alle singole stazioni di lavoro) deve essere esaminata dai “proprietari” e dagli amministratori di sistema prima dell’implementazione, così da evitare impatti traumatici e conseguenze indesiderate.

È poi opportuno verificare che la protezione antivirus sia adeguatamente aggiornata e completa, e che Windows/MAC/Android/Linux siano nella rispettiva versione più recente e integrata.

Vanno quindi disabilitati i servizi di condivisione di file e stampanti, e se proprio non se ne può fare a meno si deve far ricorso a password complesse o a sistemi blindati di autenticazione. Devono essere limitate le possibilità (in gergo le “autorizzazioni) degli utenti di installare ed eseguire applicazioni software indesiderate, e bisogna non aggiungere utenti al gruppo degli amministratori locali se non richiesto.

Va applicata una politica di password complessa e può rivelarsi proficuo implementare modifiche periodiche della password.

Consiglio che può sembrare banale – ma viene normalmente trascurato – è quello di prestare la massima attenzione nell’apertura degli allegati di posta elettronica anche se è prevista la presenza di allegati e il mittente sembra essere noto o addirittura abituale.

È bene abilitare un firewall personale sulle stazioni di lavoro e sui vari dispositivi (pc, tablet, smartphone…) di uso comune per mettere ogni apparato in condizione di rifiutare richieste di connessione indesiderate, e al contempo vanno “staccati” i servizi non necessari.

Si deve prevedere la sistematica scansione e rimozione di allegati e-mail sospetti, verificando che i relativi file corrispondano effettivamente alla natura che la loro estensione (pdf, doc o altro) indica.

Chi gestisce sistemi aziendali o istituzionali deve monitorare le abitudini di navigazione Web degli utenti limitando l’accesso a siti con contenuti potenzialmente a rischio. I comportamenti degli utilizzatori finali sono fondamentali e quindi deve esser forte l’invito a prestare attenzione quando si adoperano supporti rimovibili (pendrive USB, dischi esterni, CD) e ad eseguire la scansione di tutto il software scaricato da Internet (evitandone l’uso se non inevitabile).

Un’ultima osservazione. Il fil rouge di questo vademecum è e deve essere la consapevolezza del pericolo. Purtroppo il surclassare le insidie è la prassi. Così come diventa routine il vedere disastri informatici di varia caratura nella totale indifferenza. Anche dinanzi alla più conclamata evidenza.

Tags
Back to top button
Close
Close