Un'analisi complicata

La società si chiama RUAG e si occupa di armamenti. I sistemi sono stati compromessi nel 2014, ma i responsabili IT hanno scoperto l’intrusione solo all’inizio di quest’anno. I pirati potrebbero aver sottratto anche le informazioni riguardanti l’identità dei membri di una squadra di elite dell’esercito svizzero.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

La strategia adottata per colpire le singole macchine è descritta con dovizia di particolari da chi sta investigando sulla vicenda e rende l’idea del livello di pianificazione e della complessità dell’attacco.

Ogni bersaglio, per esempio, viene accuratamente studiato attraverso un processo di fingerprinting prima di avviare qualsiasi tentativo di compromissione, confrontandone l’indirizzo IP con quelli considerati “appetibili”.

Una volta individuato, viene “marchiato” utilizzando un evercookie e successivamente attaccato usando un primo trojan (Tavdig) che agisce come un “esploratore” per verificare che si tratti effettivamente di un obiettivo interessante.

modus
Un attacco pianificato con attenzione e condotto con pazienza. Il risultato è stato devastante.

Se il bersaglio è giudicato “di interesse”, il malware viene sostituito con un trojan più complesso. Entrambe le tipologie di trojan utilizzano tecniche di offuscamento per nascondere la loro presenza, ad esempio utilizzando rootkit o inserendosi all’interno di un processo esistente “sporcandolo” in modo da rendere più difficile la sua individuazione. Nel caso dell’attacco a RUAG, però, non è stato utilizzato alcun rootkit.

In seguito, il malware si preoccupa di ottenere i privilegi necessari per accedere alle informazioni desiderate e, una volta che le ha ottenute, le trasmette ai server C&C.

Secondo quanto ricostruito dagli analisti, i pirati avrebbero sottratto 23 GB di dati. Un vero patrimonio di informazioni che potrebbero comprendere segreti industriali, ma anche informazioni riservate particolarmente “sensibili”.

data
I cyber-spioni hanno potuto accedere impunemente ai dati conservati nei sistemi di RUAG per mesi.

A causa della tipologia di attività, infatti, RUAG ha accesso a informazioni top secret riguardanti anche le identità personali di impiegati federali, parlamentari e membri dell’esercito, compreso il già citato DRA10.

L’azienda, da parte sua, ha pubblicato sul suo sito un comunicato sulla vicenda:

RUAG ha notevoli competenze IT e molti anni di esperienza nel settore della difesa. Nonostante ciò, nessun Sistema è sicuro al 100%. Grazie all’aiuto delle agenzie federali, abbiamo individuato e bloccato un attacco, evitando così ulteriori danni”.

Quello che si dice vedere il bicchiere mezzo pieno… Quanto varranno i dati rubati al mercato nero?Ci sarà qualcuno interessato a comprare i nomi degli agenti che fanno parte dell'unità speciale (e che si spera adesso siano stati sostituiti)? Quante conversazioni interessanti saranno custodite nelle mail potenzialmente trafugate?

Tante domande che potrebbero trovare una risposta nelle prossime settimane su Wikileaks...