APT e sorgenti di malware in Europa

Un contributo di IBM al Rapporto Clusit 2015 sul panorama degli attacchi avvenuti nel 2014.

Avatar di Gaetano Di Blasio

a cura di Gaetano Di Blasio

Quest'anno il Rapporto Clusit, giunto alla quarta edizione, è arricchito anche da ulteriori contributi esterni nell'analisi degli attacchi, compresi quelli di alcune aziende, tra cui, in particolare, Fastweb (già presente lo scorso anno), Akamai e IBM.

Quest'ultima ha tracciato il quadro degli attacchi APT e fornito alcuni elementi sul cybercrime in Europa e nel Medio Oriente.

Gli Advanced Persistent Threat sono attacchi mirati, che utilizzano tecniche sofisticate sia impiegando malware di nuova generazione sia riutilizzando "vecchi" codici combinati con diverse tipologie di strumenti e, soprattutto, attuando una costante osservazione del bersaglio.

Percentuale macchine infette da malware per attacchi APT

Percentuale macchine infette da malware per attacchi APT

Secondo gli esperti di IBM, tra i tool maggiormente impiegati per attacchi APT nel 2014 figura Citadel. Evoluzione della versione 2011 di Zeus, Citadel è un malware del tipo "man in the browser" originariamente sviluppato per frodi informatiche dirette a banche e istituti finanziari. Più precisamente, consentiva di intercettare il traffico Web per ottenere credenziali d'accesso a siti di home banking o comunque di transizioni finanziarie.

Di fatto, però, un file di configurazione lo rende piuttosto versatile e adatto a modificare schemi e target di attacco in maniera dinamica.

L'analisi di IBM Security Trusteer rivela che Citadel è stato impiegato per carpire le credenziali di accesso alle mail aziendali delle imprese bersaglio degli attacchi, monitorandone le url dei servizi webmail. Ottenuto tale accesso è stato possibile inviare mail di spair phishing apparentemente legittime, poiché effettivamente provenienti dal mail server aziendale. Il malware, infatti, cattura le credenziali prima che queste vengano criptate del browser per passare nel canale https.

Non stupisce che sia il Regno Unito a detenere la percentuale più alta al mondo di computer infetti da malware per attacchi APT. È infatti a Londra che risiede il maggior numero di istituti finanziari. In Europa, dopo UK, si piazza il Belgio, seguito dalla Francia.

Il Vecchio Continente è quello dove viene utilizzato Citadel più che altrove. Non sono però disponibili dati per ogni nazione; tra gli altri mancano anche quelli relativi all'Italia.

Le sorgenti di malware in Europa

Secondo le analisi del noto team X-Force di IBM, effettuata con crawler automatici che macinano enormi moli di dati ricercando siti contenenti malware, la Germania è la nazione europea con il maggior numero di sorgenti di malware. Queste ultime consistono in sistemi da cui vengono inavvertitamente installati dalle potenziali vittime o "intermediari" il malware. Possono essere siti appositamente creati per ospitare codice maligno o siti legittimi compromessi in qualche modo (per esempio con un post in un forum che contiene un link al malware o direttamente un allegato infetto).

In 500 alla presentazione del rapporto Clusit 2015

In 500 alla presentazione del rapporto Clusit 2015

Dopo la Germania che ospita l'8,3% dei link a codice malevolo, al secondo posto si trovano Russia, Olanda e Regno Unito, tutte al 3,6% e la Francia al 3,3% e via via tutti li altri, ma nel rapporto Clusit non viene riportata la classifica completa. Si aggiunge, però, che a livello mondiale i primi due posti sono occupati da Stati Uniti (con ben il 43% delle sorgenti di malware globali) e Cina (11%).

Non sono stati riportati tutti i dati, perché la classifica non è ponderata: diventa più significativo, infatti, valutare il numero assoluto di sorgenti con il totale dello spazio IP indirizzabile da ciascuna nazione: Gli Usa sono primi perché hanno una maggiore penetrazione di Internet, ma in una classifica ponderata al primo posto figura Hong Kong, mentre seconda nel mondo e prima in Europa è la Lituania, in cui si trovano 9 sorgenti infette su un milione di indirizzi IP. L'Europa dell'Est domina anche il resto della classifica, con, nell'ordine, Bulgaria, Slovacchia, Repubblica Ceca e Russia. A seguire Irlanda, Olanda, Turchia e Germania. Nessuna sorgente di malware in Scandinavia (con l'eccezione della Danimarca), nonostante Internet abbia qui uno dei più alti tassi di penetrazione (oltre il 99% secondo i dati Ocse).