Non è vero che i risultati si raggiungono solo se si pensa “in grande”. Lo dimostrano i cinesi che si stanno dando un gran da fare per turbare l’operatività tecnologica dell’Occidente. Invece di prendere di mira le “corporation” e le Istituzioni straniere – come invece stanno facendo i corsari telematici al servizio dello Zar Putin – gli hacker controllati da Pechino hanno deciso di bersagliare i router installati negli appartamenti residenziali e nei piccoli uffici.
La manovra criminale si basa sulla manipolazione del firmware mediante l’inserimento di istruzioni che inoltrano furtivamente il traffico dati ad un server di comando e controllo gestito da bande di malfattori coordinati dal regime della Repubblica Popolare.
Secondo i super esperti di Check Point Research, nel firmware degli apparati che permettono la connessione ad Internet è stata inserita una “backdoor” (in pratica una invisibile “porta sul retro”) che consente agli aggressori di stabilire comunicazioni e trasferimenti di file con dispositivi infetti, emettere comandi in remoto, caricare, scaricare ed eliminare file.
La storia sembra esser cominciata con un aggiornamento per i router TP-Link ma pare che quello sia solo l’inizio. Infatti il codice C++ – che sembra davvero ben scritto – ha implementato certe funzionalità in modo “firmware-agnostic”. Prima che qualcuno sgrani gli occhi, diciamo cosa significa quest’ultima espressione: in poche parole vuol dire che le righe di programma sono state compilate in maniera che è estremamente banale modificarle per farle funzionare su altri modelli di router…
In pratica il malware inoculato nel firmware “gira” il traffico in ingresso e in uscita dall’apparato infetto ad un computer “anonimo” che immagazzina le informazioni per il loro successivo indebito utilizzo.
L’analisi dello specifico fenomeno in realtà ha permesso di risalire ad una “macchina” gestita da hacker legati al mefistofelico gruppo “Mustang Panda”, un attore avanzato di minacce persistenti che le società di sicurezza Avast che ESET affermano lavori per conto del governo cinese.
La scoperta è dovuta ad una complessa indagine svolta su una serie di attacchi mirati contro Ministeri degli affari esteri in Europa. Il componente principale è una backdoor con il nome interno Horse Shell.
Le funzioni principali di Horse Shell sono tre. La prima è una shell o interfaccia remota per l’esecuzione di comandi sul dispositivo infetto. La seconda, invece, consiste nel trasferimento di file per il caricamento e il download di file da e verso il dispositivo infetto. L’ultima si basa sullo scambio di dati tra due dispositivi utilizzando SOCKS5, un protocollo per inoltrare le connessioni TCP a un indirizzo IP arbitrario e fornire un mezzo per l’inoltro dei pacchetti UDP.
La funzionalità SOCKS5 sembra essere lo scopo ultimo dell’impianto. Creando una catena di dispositivi infetti che stabiliscono connessioni crittografate solo con i due nodi più vicini (uno per direzione), è difficile per chiunque si imbatta in uno di essi apprendere l’origine o la destinazione finale o il vero scopo dell’infezione.
Questo apparentemente ingarbugliato scenario è in realtà molto più lineare di quanto si possa credere.
Non va dimenticato che gli impianti di router sono spesso installati su dispositivi senza particolare interesse e chi attacca ha solo l’obiettivo di creare una catena di nodi tra le principali infezioni e l’architettura di comando e controllo”.
In altre parole, infettare un router domestico non significa aver colpito lo sconosciuto proprietario di quella casa, ma piuttosto aver trovato una delle tante tessere di un puzzle molto più complesso e inizialmente indefinito.
I criminali informatici continuano a fare affidamento su tattiche collaudate e su vecchie debolezze della sicurezza per aggredire telematicamente le aziende.
Leggi tutto
