Perché il malware 2.0 fa tremare le pubbliche amministrazioni

Fino a non molti anni fa il cosiddetto “malware” era caratterizzato da un’elevata “virulenza” e i software anti-virus erano in grado di compiere un ottimo lavoro di prevenzione, se opportunamente gestiti. Ora invece il malware è sempre più “attento” a selezionare le proprie vittime ed è sempre più complesso. Fra le altre cose, questo nuovo comportamento ha cambiato lo scenario tipico di attacco ai sistemi e di conseguenza le ipotesi sulle quali sono basati molti sistemi di difesa moderni.

Il panorama del malware è enormemente cambiato negli ultimi anni, per differenti motivi. Da un lato il mondo della produzione industriale ha iniziato attivamente a parlare di sviluppo sicuro delle applicazioni, dall’altro il malware è sempre più finalizzato alla ricerca attiva del profitto, inteso come informazioni o asset più o meno “monetizzabili” direttamente (in termini di vantaggio competitivo) o indirettamente (come merce di scambio su dark market [1]). Le regole del gioco sono cambiate già da qualche tempo: la storica figura del “genio informatico” che realizza un virus per gioco è stata sostituita da team di reverse engineer professionisti, pagati per compiere il proprio lavoro (dall’industria o dalla malavita), con mezzi e conoscenze assolutamente non paragonabili al passato. Il risultato è che gli attacchi sono sempre più complessi e ben studiati. Termini spesso usati dai media, come BotNet, phishing, pharming, XSS, rootkit, ecc nascondono una elevata complessità tecnologica. Tutto questo senza contare i nuovi scenari offerti dall’introduzione di nuove piattaforme, come ad esempio quelle per i sistemi mobili quali iPhone, Android [2] [3] [4].

La nuova generazione di codici malevoli (malware) attualmente in circolazione è però radicalmente differente rispetto alla precedente. A guidare il suo sviluppo, infatti, sono oggi principi di efficienza economica e durata degli investimenti effettuati per svilupparlo (attenzione ai “costi” oltre che ai profitti!). Al fianco di questo i nuovi malware si presentano chiaramente come prodotti sviluppati da team di professionisti. Questo fenomeno prende il nome di Malware 2.0 ed è caratterizzato come segue, per massimizzarne la sfruttabilità e il ritorno sull’investimento, a tutti i livelli:

• Assenza di un singolo centro di controllo (specialmente per le BOTnet) e capacità di adattare la propria struttura d’infezione alla macchina attaccata (attacchi ad-hoc ed operazioni di bilanciamento automatico delle reti di computer infetti).
• Uso intensivo di metodi per combattere i sistemi di analisi del malware (es. infezione diretta dei sistemi anti virus o sfruttamento avanzato delle odierne possibilità di mutazione dei virus).
• Asservimento delle macchine vittime e maggiore discrezione negli attacchi (selezione accurata delle macchine o degli utenti per non attirare attenzione e mantenimento delle macchine in uno stato “dormiente” fino al momento in cui l’attacco viene attivato).
• Intensa produzione di varianti (il malware cambia la forma e “l’aspetto” ma non il funzionamento logico). Le tecniche di packing e cifratura dei malware sono talmente avanzate che i sistemi di individuazione sulla base di firme o euristiche di comportamento note, che sono la base degli antivirus, non sono più molto efficaci.
• Attacchi brevi e mirati su più fronti (è attaccata una risorsa per un periodo sufficiente a non destare attenzione, se non si ha successo, si passa a un’altra vittima).
• Uso intenso e avanzato delle tecniche di social engineering (sempre più gli utenti sono parte attiva del processo d’infezione, se non la vera causa del problema).
• Modularità e complessità delle infezioni (tramite dropper multistadio, cioè malware apripista che preparano il sistema per l’infezione finale). Tipica struttura a “nested-dolls”, o a scatole cinesi.
• Utilizzo di complessi modelli di business utilizzati nelle infezioni e sempre maggiore commoditization dei servizi (alcuni esempi sono Malware as a Service –Maas– , Exploit-as-a-service , Pay-per-installPay-per-install o il recente ritorno sulla scena del Ramsonware, ma con un modello as a Service –RaaS– )

Un esempio che racchiude tutte queste caratteristiche al massimo della loro complessità, e proprio per questo motivo esemplare, è quello raccontato nel whitepaper della TrendMicro a proposito della operazione Pawn Storm.

Come risulta evidente dalle principali caratteristiche riportate sopra, il malware è oggigiorno uno strumento decisamente duttile ed in grado di adattarsi a differenti forme di attacco. Ai due opposti abbiamo le infezioni automatizzate o generaliste e gli attacchi discrezionali o targeted attacks. Entrambe queste modalità coesistono in tutte le varianti possibili e spesso un attacco, che inizia in un modo, apre la strada per altre minacce. Supponiamo ad esempio che tramite un malware generico l’attacco riesca a produrre un data breach, apparentemente di poco conto, o semplicemente ad ottenere una via di accesso ad un PC non meglio identificato (in una prima fase); nel circuito del “black market” questi dati acquistano valore e possono fornire le informazioni o gli strumenti necessari per creare un malware ad-hoc per un attacco mirato successivo [5]. Proprio questa connessione viene evidenziata anche da un recente whitepaper TrendMicro [6]. Gli attacchi mirati quindi scardinano il principio base di alcuni sistemi di difesa, cioè che i malware attacchino i sistemi senza particolari scrupoli, indiscriminatamente ed al massimo delle loro possibilità.

Fra le varie caratteristiche elencate quindi, quella che a mio avviso cambia notevolmente la situazione è la discrezionalità degli attacchi, anche perché un attacco mirato può arrivare a causa di precedenti attacchi generici. L’evoluzione degli attacchi cosiddetti Ad-Hoc, la proliferazione dei targeted attacks (argomento sul quale dedicherò uno dei prossimi post) sono un chiaro esempio di una contro tendenza. Non è un caso se l’industria della sicurezza si stia profondamente interrogando su alcuni temi fondamentali come il futuro dei sistemi Anti-Virus. Netflix sta valutando anche l’abbandono in toto dei sistemi anti virus aziendali a favore di altre soluzioni.