Alla fine del 2015 un attacco informatico lasciò al buio circa 700.000 persone in Ucraina. Fu un'operazione memorabile, messa a segno da un gruppo chiamato BlackEnergy. Oggi ESET racconta che il gruppo si sarebbe evoluto in GreyEnergy, e avrebbe a disposizione strumenti ancora più sofisticati e potenzialmente pericolosi. Non si può essere certi che siano le stesse persone, ma l'analisi del codice rende il sospetto più che fondato. Il nuovo malware individuato dall'azienda prende lo stesso nome del gruppo in questione.
"I nostri ricercatori hanno dimostrato oltre ogni dubbio che il toolkit di GreyEnergy replica e migliora le tecniche già sofisticate usate nei devastanti attacchi NotPetya e nei blackout in Ucraina", si legge infatti sul blog di ESET, con un rimando a uno degli attacchi più grandi che si siano mai registrati.
Il gruppo GreyEnergy, tuttavia, per il momento non sembra interessato a colpire in modo tanto incisivo. ESET sottolinea infatti che finora si sono concentrati su azioni di spionaggio e analisi, e che soprattutto si sono sforzati per passare inosservati.
Hanno sviluppato diversi metodi di attacco, che usano a seconda del bersaglio per diffondere il loro malware; per esempio, fa la differenza se la vittima ha un proprio server web, potenzialmente collegato alla rete interna. La prima infezione può passare da questo server, ma anche da un classico documento Word confezionato ad hoc e spedito via mail. In quest'ultimo caso di parla di spearphishing, cioè attacchi di phishing mirati a bersagli specifici. Una volta infettato un computer, il software lo analizza alla ricerca di possibili collegamenti con la rete industriale, nello specifico i sistemi di controllo delle centrali elettriche.
GreyEnergy è progettato per essere difficile da individuare. Tant'è che ha una modalità di funzionamento che esegue il programma solo in memoria temporanea, partendo da un singolo file DLL. In ogni situazione, GreyEnergy scarica solo moduli che servono, quando servono; un operatore remoto può cancellare le tracce in qualsiasi momento (per i dettagli tecnici si può consultare il PDF di ESET).
Solo spionaggio e analisi quindi. Un'azione "in incognito" mirata, suppongono gli specialisti di ESET, a preparare il terreno per attacchi futuri o, più probabilmente, realizzare una sorta di "arma pronta all'uso" da vendere a qualcun altro.
Ne abbiamo parlato con Luca Sambucci, Operations Manager di ESET.
In questo continuo inseguirsi, infatti, chi attacca mille volte può fallirne 999, ma con un unico successo ottiene il suo scopo. Chi è in difesa invece parte svantaggiato, perché il suo obiettivo è fermare sempre tutti gli attacchi. Poi, tra l'Italia e altre aree del mondo, ci sono altre differenze; da noi per esempio c'è più consapevolezza in tema di security, mediamente siamo protetti meglio
Spesso, in questo modo, possiamo fare da ponte tra le polizie di diversi paesi, fomentando la collaborazione. E così facendo aiutiamo tutti, non solo i nostri clienti, a stare più sicuri. Perché quando elimini una botnet riduci la minaccia per tutti; questo è importante perché anche chi usa il nostro antivirus non può avere certezze riguardo a chi gli sta intorno, come clienti e fornitori.
In ogni caso, queste attività non hanno una ricaduta immediata sul marketing che io sappia. Sì, può capitare un cliente che ti sceglie perché ha letto un articolo su di te come azienda, ma sono attività che facciamo soprattutto perché è una buona causa e perché rispettano la natura di una società di sicurezza come ESET.