12 Feb 2014
Inviato da Clara Salpietro 
(di Svetlana Savenkova*) – Il “Laboratorio Kaspersky” ha individuato una campagna di cyber-spionaggio globale. La rete globale di criminali informatici chiamata “La Maschera”, ha operato per circa sette anni, e ha causato danni a più di 30 paesi in tutto il mondo, tra cui Medio Oriente, Europa, Africa e America.
Lo scopo principale degli hacker era quello di raccogliere preziose informazioni dai sistemi infetti, compresi vari documenti. Gli esperti ritengono che le azioni degli hacker fossero rivolte principalmente a enti pubblici, uffici diplomatici e attivisti politici.
Dietro la rete di spionaggio globale ci sono dei criminali ispanici. Le tracce rilevate indicano che l’operazione è stata effettuata almeno dal 2007. Questa mette in evidenza la complessità dell’arsenale degli elementi d’attacco: esso comprende una serie di malwares altamente sofisticati, sviluppati per varie piattaforme, inclusi i sistemi operativi prodotti da Apple, Linux e eventualmente per sistemi operativi mobili. Le azioni dei malfattori erano rivolte principalmente a enti pubblici, uffici diplomatici e ambasciate, alle compagnie per l’energia, quelle petrolifere e del gas, ad organismi di ricerca e attivisti politici. Il maggiore esperto di anti-virus del “Kaspersky Lab”, Vitalij Kamljuk ritiene che la “cyberbanda” godesse di una protezione ad alti livelli:
Diverse ragioni ci portano a pensare, che si potesse trattare di una campagna che godeva del supporto statale. Prima di tutto, osserviamo un livello di professionalità troppo elevato nelle azioni del gruppo, che controlla la propria infrastruttura, si nasconde con l’aiuto delle regole del sistema di controllo degli accessi, cancella completamente il contenuto del file log, invece della sua semplice rimozione, e, se necessario, interrompe qualsiasi azione. Questo livello di protezione non è tipica dei criminali informatici.
L’infezione si verificava attraverso l’invio agli utenti di email-truffa a scopo di phishing. Queste e-mail contenevano un link ad una falsa pagina, in cui i truffatori provavano con vari metodi di richiedere all’utente di immettere un falso login e password, che usavano per accedere a un particolare sito web, consentendo agli aggressori di accedere ai loro account, e conti bancari. In caso il tentativo di infezione avesse successo, il sito maligno reindirizzava gli utenti a una risorsa amichevole, che veniva menzionata nella mail, che poteva essere YouTube, o un portale di notizie.
I siti dannosi non infettavano automaticamente gli utenti in caso di un accesso diretto a un solo sito. Gli aggressori conservavano i programmi virus in directory separate, i collegamenti alle quali erano presenti solo nelle mail: se l’utente ci passava, veniva attaccato. A volte in questi siti, gli hacker utilizzavano parte del nome del sito, perché gli indirizzi interi sembrassero più credibili, o simulassero dei popolari giornali spagnoli, così come molti internazionali, come il “Guardian” e il “Washington Post”.
L’obiettivo principale dell’attacco era quello di raccogliere preziose informazioni dai sistemi infetti, tra cui anche vari documenti, chiavi di crittografia e file utilizzati dai programmi per fornire l’accesso remoto al computer. Vitalij Kamljuk è certo che per le vittime, questa infezione potesse portare a conseguenze catastrofiche.
Il malware intercetta tutti i canali di comunicazione, e raccoglie le informazioni più importanti dal computer. Rilevare questa infezione è estremamente difficile, a causa dei meccanismi disponibili per nascondere il rootkit, e i moduli aggiuntivi disponibili per lo spionaggio informatico. In aggiunta alle funzioni integrate, gli hacker potrebbero inserire nei computer infetti dei moduli, che consentono di impostare eventuali azioni pericolose.
Attualmente i prodotti del “Laboratorio Kaspersky”, rilevano e rimuovono efficacemente tutte le versioni conosciute de “La Maschera”. Ma ora non possiamo dire che questi criminali siano stati arrestati. Finché queste persone saranno in libertà, cercheranno di attaccare nuovamente. Attualmente i loro server sono spenti, e i dati sono stati cancellati, in modo da proteggere le numerose vittime già colpite. Ma gli esperti affermano che la stiano solo tirando per le lunghe. Per riuscire ad interrompere definitivamente questi attacchi informatici, è necessaria la cooperazione internazionale degli organi di polizia.
*Articolo pubblicato su http://italian.ruvr.ru/2014_02_12/Il-Laboratorio-Kaspersky-rivela-una-rete-globale-di-spionaggio-informatico-6377/
