Utilizzando un gioco di parole, si potrebbe parlare di "Cavallo di Beirut", visto che la notizia riguarda i trojan. Nello specifico, un malware creato probabilmente da un oscuro gruppo di hacker libanese nato inizialmente con fini politici, e “inoculato” in diversi server mondiali fin dal 2012. La campagna di attacco, ribattezzata Volatile Cedar, è stata scoperta dalla società specializzata in sicurezza Check Point e sarebbe tuttora in corso. Il software maligno, noto col nome in codice Explosive, è penetrato con successo in un gran numero di obiettivi distribuiti nel mondo, consentendo ai criminali di monitorare le azioni delle vittime e di sottrarre loro dati personali.
A quanto rivelato da Check Point, sembra che le organizzazioni colpite abbiano interessi nell’ambito della difesa e dell’educazione, nelle telecomunicazioni e nei media. Molte sono localizzabili in Israele e nessuna informazione di tipo finanziario sarebbe stata prelevata. Nel mirino non ci sarebbero quindi risorse economiche, ma di altro genere, e gli attacchi sarebbero stati molto mirati e ben gestiti. L’ampiezza dell’infezione è stata circoscritta e controllata in questi anni dai libanesi, che si sono preoccupati di minimizzare il rischio di esposizione.
Tutte le operazioni inizierebbero con l’esame dei server sotto tiro, per scoprire eventuali vulnerabilità. Una volta trovata la falla, la seconda fase consiste nell’esecuzione di una shell Web, uno script in grado di garantire l’accesso come utente di root a un server Web pubblico. Fatto questo, il gioco è praticamente concluso, con seri danni per la vittima: gli hacker possono prendere il sopravvento sulla macchina e sfruttarla per “seminare” il trojan, inviando comandi agli obiettivi tramite una vasta batteria di server command and control, ospitati secondo i ricercatori da una delle principali aziende di hosting del Libano.
La lista di comandi comprende tutte le funzionalità necessarie per mantenere il possesso ed estrarre informazioni utili dalla rete, inclusi programmi di keylogging e di clipboard logging. In casi speciali, quando gli hacker devono estrarre grandi quantità di dati, possono sfruttare anche dei tunnel Secure Shell “deviati”, che si collegano direttamente ai server controllati dal gruppo libanese.
Explosive nel corso dei mesi è stato rilasciato in diverse versioni e nelle ultime può infettare anche tutti i dispositivi di archiviazione Usb collegati ai server. Questa funzionalità aggiuntiva può essere sfruttata dagli hacker per colpire tutte quelle macchine che lavorano in ambienti con dispositivi flash condivisi, compresi anche i Pc domestici degli amministratori di rete. Il danno potenziale è quindi enorme.
Fonte: Check Point. La struttura server sfruttata dal malware Explosive
“Volatile Cedar è una campagna malware molto interessant perché è stata costantemente operativa, e con successo, per tutta la sua durata”, spiega Dan Wiley, head of incident response and threat intelligence di Check Point. “Si tratta di un aspetto dei futuri attacchi mirati: programmi maligni che osservano una rete in silenzio, sottraendo dati, e che possono modificarsi velocemente se individuati dai sistemi antivirus”.