Non tutti i cybercriminali sono uguali, né le loro tecniche. Quello che vale per un attacco mirato a colpire il maggior numero di utenti non vale per le operazioni, talvolta chirurgiche, di spionaggio sponsorizzato dai governi. Ad analizzare le differenze fra i due approcci ha pensato Kaspersky Lab, prendendo come esempio la piattaforma di cyberspionaggio EquationDrug. Un sistema che è stato usato per più di un decennio da diversi gruppi criminali e in campagne recenti come quelle di Careto e Regin, ma che oggi sta cedendo il passo a un’altra e più sofisticata piattaforma, GrayFish.
Fra le caratteristiche di questi sistemi di spionaggio di stato c’è l’elevato numero dei plugin utilizzati dai criminali per selezionare e eseguire una vasta gamma di funzioni, a seconda della vittima selezionata e delle informazioni in loro possesso. In base alle stime di Kaspersky Lab, EquationDrug include 116 diversi plugin.
Le differenze rispetto agli attacchi “di massa” sono sostanzialmente tre: la scala, l’unicità del malware creato e la capacità di estrarre valore dai dati trafugati. Sul primo punto, Kaspersky Lab sottolinea come i metodi più popolari fra i cybercriminali tradizionali siano l’invio indifferenziato di grandi volumi di email di massa con allegati nocivi o l'infezione di siti Web su larga scala. La strategia sfruttata dai governi invece è quella di puntare a un numero selezionato e anche molto ristretto di utenti, i cui sistemi (computer, caselle email, dispositivi mobili) contengono informazioni ad alto valore.
Il secondo punto è una conseguenza del primo: per colpire un target composto non da una massa, ma da individui singoli servono malware “ad personam”. Mentre i criminali tradizionali usano codici sorgente già disponibili come quelli dei famigerati Trojan Zeus o Carberb, i governi creano malware unici e personalizzati. E talvolta arrivano addirittura a implementare le restrizioni che ne impediscono la decriptazione e l’esecuzione al di fuori del computer preso di mira.
Circa la capacità di estrarre valore dagli attacchi, i cybercriminali generici non hanno né il tempo e né la capacità di archiviazione sufficiente per controllare manualmente tutti i (tanti) dispositivi infettati e di analizzare utenti, dati archiviati e software eseguiti durante l’operazione. Progettano, quindi, dei malware “all-in-one” che estraggono dai dispositivi delle vittime solo le informazioni di maggior valore, come password e codici delle carte di credito; e questa attività, fra l’altro, facilmente attira l’attenzione di qualsiasi software di sicurezza installato.
Gli hacker che agiscono per conto dei governi, al contrario, hanno le risorse per archiviare tutte le informazioni che desiderano. Si servono, infatti, di un generico strumento di di gestione del sistema da remoto in grado di copiare i dati di loro interesse, indipendentemente dalla dimensione. Il rischio è quello che il trasferimento di grandi quantità di byte possa rallentare la rete colpita dall’attacco, facendo sorgere dei leciti sospetti.
Come funziona un attacco basato su EquationDrug? In parole semplici, sfruttando dei framework preconfezionati ma personalizzabili a seconda delle necessità. “Potrebbe sembrare strano che una piattaforma di cyberspionaggio potente come EquationDrug non offra all’interno del core del proprio malware tutte le possibilità di furto in modo standardizzato”, ha spiegato Costin Raiu, director of global research and analysis team di Kaspersky Lab.
“Il motivo è che preferiscono realizzare attacchi personalizzati per ciascuna vittima. Solo nel caso in cui i criminali scelgano di monitorare attivamente le attività di un utente in particolare e solo quando i prodotti di sicurezza installati sul dispositivo della vittima sono disattivati, l’utente in questione riceverà un plugin che servirà a tracciare le sue conversazioni o a monitorare altre funzionalità specifiche legate alle sue attività. La modularità e la personalizzazione saranno sempre più le caratteristiche distintive degli attacchi sponsorizzati dai governi”.