Se ne parla in rete già dalla scorsa estate ed ogni tanto torna in voga la notizia del pericoloso trojan nordcoreano che sarebbe in grado di autoeliminarsi dal sistema della vittima dopo aver fatto il proprio dovere. Questo temibile malware nasce per carpire dati da società di difesa militari e settori aerospaziali, ma come spesso capita la diffusione non si limita ad un ambito specifico ma può anzi trovare forza nello sfruttare sistemi vulnerabili per aumentare la propria volatilità a vantaggio degli attaccanti. Ma come può questo malware penetrare in sistemi così protetti e sofisticati? Si comincia da un contatto, un messaggio di spear phishing da parte di criminali che induce la vittima ad aprire un documento “dannoso” inviato tramite e-mail. Per i meno avvezzi ai termini è doveroso aprire una parentesi e definire la differenza tra il phishing “comune” (detto “spray phishing”) ovvero un attacco che fa leva sulla quantità di destinatari, non sulla qualità del messaggio inviato. Lo spear phishing invece, seppur operi con la stessa logica del phishing, è un attacco rivolto esclusivamente ad una persona o azienda specifica.
Una volta aperto il documento Word (sì, non si può parlare sempre e solo di PDF pensando che sia l’unico veicolo di virus), viene avviato il “template injection attack” che installerà il malware nel computer della vittima. Questa tecnica consente di richiamare e quindi scaricare un template word “armato”, contenente alcune macro che, una volta eseguite, consentono al malintenzionato di infettare il dispositivo del target. Il template non è altro che la veste grafica del nostro file e formalmente ha una sorta di lasciapassare dal sistema (quasi come un nulla osta di segretezza in mano ad un ufficiale militare chiamato ad operare su documenti classificati). Tale tecnica non è affatto nuova, bensì risulta ancora molto efficiente ed efficace.
Per chi volesse approfondire il funzionamento del documento Word dannoso, più dettagliatamente, suggerisco la lettura di questo interessante articolo.
In pratica l’arma del malware non è altro che un modello di template per Office, ovvero un file DOTM reperito da un sito web apparentemente attendibile ma compromesso dai criminali. Al file va aggiunta una banale macro in Visual Basic per caricare altre DLL dannose preparate specificatamente per condurre questo attacco.
Il flusso di lavoro BlindingCan si può riassumere in tre punti: download del file .docx, richiamo al file Dotm e file DLL impiantati nel computer della vittima.
Nella fase successiva il conduttore dell’attacco potrà eseguire sul target vari comandi, come ad esempio raccogliere le informazioni sul sistema della vittima (compresi indirizzi ip locali, dati dei dischi installati e del processore ecc…), creare – avviare – terminare processi, leggere – scrivere – eseguire – spostare file e tanto tanto altro. Rimando all’analisi citata sulle righe precedenti per i dettagli.
Al fine di accrescere dunque quella cultura della sicurezza di cui abbiamo più volte parlato anche tra queste pagine, è importante comprendere e conoscere l’evoluzione degli attacchi avvenuti nel corso degli anni per poter applicare quanto appreso dagli incidenti passati. Una formazione costante degli operatori dell’organizzazione su queste tematiche è molto importante.
Per concludere, tra gli strumenti utili a livello di architettura di sicurezza della rete, un SWG – Secure Web Gateway può essere visto come una componente obbligatoria in quanto può bloccare l’accesso a siti web dannosi. Doveroso ricordare che mantenere il software ed il sistema operativo aggiornati ed avere un antivirus installato ed aggiornato sono passaggi cruciali che possono aiutarci nel mantenimento della sicurezza. La prevenzione, come sempre, è la chiave per ridurre i rischi di cadere preda di malware.
