Dalla segnalazione da parte del CSIRT (Computer Security Incident Response Team, il nucleo specializzato presso l’Agenzia per la cybersicurezza nazionale), le piattaforme Discord e Trello sono oggetto di “nuove attività malevole” accomunate dalla diffusione di malware tramite link all’interno dei citati servizi di messaggistica istantanea. Per l’effetto, viene suggerita la seguente azione di mitigazione: “qualora non strettamente necessari per le finalità della propria organizzazione, si consiglia di valutare attentamente l’accesso a tali piattaforme di messaggistica al fine di elevare la postura di sicurezza generale”.
È opportuno però formulare una considerazione: la valutazione di necessità d’impiego di un determinato strumento – soprattutto se fornito da una terza parte – è e deve essere oggetto dell’analisi dei rischi di cybersecurity e dei controlli successivi. Certamente il criterio della stretta necessità va considerato come un alert importante di cui tenere conto per effetto dei cambiamenti di contesto esterno.
Andando ad approfondire il comunicato di allerta degli analisti di sicurezza della Unit 42, però, Trello e Discord sono citati solo come esempio in un ambito ben più esteso di minaccia. All’interno della sezione in cui sono indicate le misure di mitigazione suggerite alle organizzazioni per prepararsi all’escalation della crisi cyber che coinvolge come primi attori Russia e Ucraina, c’è la seguente azione: “Lock Down Your Network: Making small policy changes can decrease the likelihood of a successful attack against your network. Many applications can be abused, even though the application itself may not be malicious. If your organization doesn’t require their functionality, blocking them will improve your security posture. For example, recent attacks have abused popular applications – like Trello and Discord – to distribute malicious files. Users didn’t need to use the software to be impacted, the attackers simply used the platforms to host links to files.”.
Di conseguenza, viene suggerito innanzitutto di ridurre al minimo l’esposizione della rete della propria organizzazione, regolando le policy e gli asset irrigidendo i criteri di blocco di tutte le applicazioni non necessarie in quanto potrebbero essere impiegate come vettori di attacco. Viene portato come esempio l’utilizzo recente delle applicazioni più diffuse come ad esempio Trello e Discord per la distribuzione di contenuti malevoli, anche semplicemente come host per i link ai file dal momento che in ragione della notorietà delle piattaforme, è possibile rafforzare le campagne di phishing giovandosi di un elemento di percezione di un’apparente attendibilità e sicurezza del servizio.
Ciò significa dunque che l’allarme è ben più esteso e che l’ambito di intervento è ben più ampio dovendo coinvolgere l’intero ambito degli applicativi più diffusi e in special modo i servizi di messaggistica istantanea e scambio link/file. Insomma: un rinnovato memento, cui le organizzazioni dovranno rispondere su più livelli, provvedendo su questo punto almeno a:
- sensibilizzare gli operatori sulle minacce e sui rischi derivanti direttamente o indirettamente dall’impiego di tali servizi;
- riesaminare e regolamentare le policy di sicurezza secondo criteri più restrittivi.
