Aggiornamenti recenti Aprile 4th, 2025 12:39 PM
Ott 04, 2019 Marco Schiaffino Attacchi, Malware, News, RSS 0
Quando analizzano un malware, di solito i ricercatori di sicurezza non impiegano molto tempo per comprendere quali siano gli obiettivi e le strategie adottati dai pirati informatici, anche quando le tecniche utilizzate sono completamente nuove.
Nel caso dei nuovi attacchi di Turla (un gruppo di cyber-criminali russi di cui abbiamo parlato già in passato) i ricercatori di Kaspersky sono rimasti piuttosto perplessi.
Come si legge nel report pubblicato oggi dalla società di sicurezza sul suo blog ufficiale, i pirati russi stanno utilizzando un trojan che ha delle funzionalità piuttosto bizzarre.
Si chiama Reductor e fa tutto quello che ci si può aspettare che faccia un trojan: furto di dati e intercettazione dei dati inviati e ricevuti dal computer infetto.
Il malware, però, esegue anche delle operazioni aggiuntive che, a prima vista, sembrano decisamente “ridondanti” e che mirano a gettare le basi per eseguire un’intercettazione del traffico Internet dall’esterno.
Reductor, infatti, aggiunge un certificato digitale sui browser installati e avvia un “aggiornamento” di Chrome e Firefox per fare in modo che il traffico sia identificabile.
Quest’ultimo obiettivo viene raggiunto inserendo una sorta di “marcatore” che si attiva al momento dell’handshacke nella connessione TLS. Reductor interviene infatti sul sistema di PRNG (pseudo-random number generation), cioè la funzione che genera valori numerici casuali al momento della connessione HTTPS.
Lo stratagemma, in pratica, inserisce un codice di riconoscimento elaborato attraverso le caratteristiche hardware e software della macchina infetta, “marchiando” così ogni connessione.
L’obiettivo dei pirati, in definitiva, sembra essere quello di gettare le basi per poter intercettare il traffico attraverso un attacco Man in The Middle che verrebbe portato in seguito.
Le perplessità derivano dal fatto che, avendo già installato un trojan sul computer, questo tipo di stratagemma sembra decisamente inutile. L’unica spiegazione logica è che l’operazione voglia garantire la possibilità di intercettare il traffico del PC compromesso anche nel caso in cui il trojan dovesse essere rimosso.
Non solo: per poter sniffare il traffico Internet, i pirati dovrebbero avere una qualche via di accesso. Su questo punto i ricercatori di Kaspersky, però, ritengono di poter avere pochi dubbi.
Stando al report, infatti, Reductor viene distribuito all’interno di software piratati apparentemente “innocui” (per quanto lo possa essere una versione pirata di un programma commerciale) scaricati da siti che si collocano sul confine tra legalità e illegalità.
Dalle indagini condotte dagli analisti, i siti in questione non hanno subito compromissioni (gli installer sui loro server non contengono il trojan) e, di conseguenza, l’infezione dovrebbe avvenire attraverso la sostituzione del file in fase di trasferimento dal sito al computer.
Insomma: l’ipotesi è che i pirati abbiano compromesso un Internet Service Provider e stiano sfruttando questa posizione privilegiata non solo per diffondere il trojan, ma anche per intercettare il traffico dei computer compromessi attraverso il marcatore che inseriscono con la “contaminazione” del PRNG.
Qualcosa che ci si può aspettare tranquillamente dal gruppo Turla, che in passato ha già dimostrato di essere anni luce avanti rispetto ai normali “colleghi” del settore e avere un particolare feeling con le tecniche di compromissione dei sistemi di comunicazione.
Mar 04, 2025 0
Nov 11, 2024 0
Ott 02, 2024 0
Set 30, 2024 0
Apr 04, 2025 0
Apr 03, 2025 0
Apr 02, 2025 0
Apr 01, 2025 0
Apr 04, 2025 0
L’Italia è tra i principali obiettivi del cybercrime...Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and Management...Mar 27, 2025 0
Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso...Mar 21, 2025 0
Il processo di penetration testing è ormai una pratica...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Apr 04, 2025 0
L’Italia è tra i principali obiettivi del cybercrime...Apr 03, 2025 0
Colt Technology Services ha annunciato di aver completato...Apr 02, 2025 0
La Corea del Nord sta incrementando le proprie attività...Apr 01, 2025 0
Se da una parte i tool di Remote Monitoring and...Mar 31, 2025 0
I ricercatori di Infoblox hanno scoperto una nuova campagna...