Settimana scorsa, un gruppo di ricercatori di FireEye ha scoperto una serie di vulnerabilità di Internet Explorer che erano già sfruttate per attaccare degli utenti in rete. In particolare, si trattava di alcune falle attive in IE 7, 8 , 9 e 10 abbinati a Windows XP o Windows 7. L'effetto era un classico "drive by", cioè un download non autorizzato, con annessa esecuzione di codice.

La tecnica utilizzata era molto interessante perché presupponeva l'uso combinato di due vulnerabilità diverse e proprio per questo il numero di configurazioni su cui funzionava era ridotto. La prima vulnerabilità permette agli attaccanti di avere accesso alla memoria del PC, mentre la seconda falla era necessaria per poi eseguire il codice eventualmente scaricato.

Su Windows 7 questo attacco funziona solo se si usano le versioni 7 o 8 di IE. Insomma, sembrava uno dei tanti attacchi che gli hacker conducono come routine e neanche dei più temibili, finché i ricercatori non hanno approfondito l'analisi…

Nei giorni successivi, infatti, è emerso che l'operazione non era per nulla "generale", ma molto specifica. Usando la tecnica del "watering hole", gli hacker puntavano a rubare credenziali e ottenere l'accesso alla rete di personale coinvolto nella gestione della sicurezza nazionale degli USA.

Le informazioni nascoste in quel palazzone nero fanno gola a tanta gente…

L'attacco veniva veicolato quasi completamente tramite un sito legittimo compromesso definito come "strategico" per gli operatori del settore e aveva caratteristiche particolarmente subdole che lo rendevano molto difficile da scoprire.

Nonostante il payload, cioè il codice scaricato, sia molto simile a quello del trojan noto come Hydraq, McRat or Trojan.APT.9002, questa versione gira restando residente in memoria. Non va a creare alcun file sul disco fisso e quindi sparisce allo spegnimento del computer.

In questo modo, non c'è modo di sapere quali computer siano stati effettivamente colpiti e quali no, così come è estremamente difficile, se non impossibile, stabilire quali file siano stati letti e inviati a server remoti. Le contromisure sono semplici da attuare dal momento che già l'EMET di Microsoft tappa le falle sfruttate da questo attacco.

Il problema, però, è che basta un computer compromesso nella rete interna per dar luogo a una fuga di documenti.

Non è chiaro chi ci sia dietro alla creazione di questo malware e al conseguente attacco al sito web usato come diffusore dell'infezione. Di sicuro, lo sforzo necessario e le conoscenze necessarie a creare questo attacco sono notevoli e il profilo degli hacker deve quindi essere elevato.

Forse non c'è bisogno di arrivare ad agenzie governative, ma si tratta di sicuro di gruppi molto ben preparati che hanno poi contatti a livello governativo per vendere le informazioni.