Domanda per i CIO, Chief Information Officers e/o responsabili della sicurezza informatica delle sedi centrali di grandi aziende: in una scala da 1 a 10 quanto considerate protetto l’accesso ai vostri sistemi digitali?
Senza esitazione alcuna, molto probabilmente, la risposta sarà 9, solo perché un po’ di modestia non guasta mai.
Altro quesito. Considerando la stessa scala di valutazione, quanto sono sicuri e protetti i sistemi informatici di chi appartiene al vostro ecosistema, ovvero succursali, agenzie, punti vendita, insomma tutti coloro che hanno accesso e fanno parte dei vostri sistemi informatici?
Non riesco a sentire la risposta…
Tranquilli, scopriremo più avanti il perché della domanda.
Un gruppo di attori, più corretto definirli scassatori o scassinatori informatici cinesi, o meglio legati alla Repubblica Popolare Cinese, conosciuti come BlackTech, hanno individuato questa debolezza sistematica dei grandi sistemi, così da riuscire ad accedere al centro compromettendo i router aziendali in periferia. Breve spiegazione tecnica per i non addetti. Un router è un dispositivo di rete che inoltra e dirige il traffico dei pacchetti di dati tra reti di computer. Un pacchetto dati viene tipicamente inoltrato da un router a un altro router attraverso le reti che costituiscono una internet work (ad esempio Internet), fino a raggiungere il nodo di destinazione. I router sono per lo più computer specializzati e i più sofisticati utilizzano circuiti integrati specifici dell’applicazione (ASIC, Application Specific Integrated Circuit) per aumentare le prestazioni o aggiungere funzionalità avanzate di filtraggio e protezione. I signori di BlackTech, dicevamo, modificano segretamente il firmware dei router riuscendo così a spostarsi dalle “sussidiarie globali” alle reti delle sedi centrali delle aziende, soprattutto negli Stati Uniti e in Giappone. Altra breve spiegazione per i non addetti.Il firmware è un programma o insieme di programmi che fornisce istruzioni operative ai componenti hardware di un dispositivo, consentendone il funzionamento di base. Viene installato dal produttore e in genere non può essere rimosso, viene talvolta definito software integrato. Ovviamente gli addetti considereranno le spiegazioni appena date come semplicistiche, insufficienti e comunque errate.
Si tratta di una minaccia seria, al punto di fare emettere alla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, la National Security Agency (NSA), il Federal Bureau of Investigation (FBI), la Japan National Police Agency (NPA) agenzia nazionale giapponese di polizia, and il Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC), centro nazionale giapponese per la sicurezza e strategia per la cybersicurezza, un avviso congiunto nel quale si afferma che il gruppo BlackTech si sta “nascondendo nel firmware dei router”.
BlackTech, opera dal 2010 circa e ha preso di mira diversi tipi di router. In particolare, come indicato nell’avviso di sicurezza, sono stati compromessi quelli della Cisco, utilizzando un accesso di sicurezza (backdoor) personalizzato. Anche i sistemi operativi Windows, Linux e FreeBSD, sono oggetto delle attenzioni di BlackTech, che fa ampio uso di strumenti per l’accesso remoto (RATs), di vari programmi dannosi più o meno personalizzati (custom malware payloads), come BendyBear, FakeDead e FlagPro, insieme a malware di tipo Living Off The Land (LOTL).
Il “bello” degli attacchi LOTL è che non richiedono l’installazione di codice o comandi. L’attaccante usa strumenti già presenti come PowerShell, Windows Management Instrumentation (WMI) o Mimikatz, programma gratuito per Windows che consente di ottenere informazioni che riguardano le credenziali di accesso, come password in chiaro, codice PIN e altro ancora. I tradizionali strumenti di sicurezza che cercano oggetti “alieni” non servono a nulla. Gli attaccanti spesso, prima di essere scoperti, passano settimane, mesi, se non anni a ravanare nell’ambiente vittima.
Gli attori di BlackTech hanno preso come bersagli sistemi governativi e settori industriali quali i tecnologici, i media, gli elettronici, le telecomunicazioni e il settore spazio/difesa.
Secondo l’avviso emesso: “Le TTP, (NdA: ovvero le tattiche, tecniche e procedure per evitare di essere scoperti), contro i router consentono agli attori di BlackTech, mentre conducono operazioni, di nascondere modifiche alla configurazione e ai comandi, nonché di disabilitare le registrazioni”. Non solo riescono a non farsi scoprire e a non lasciare tracce, ma sfruttano la cosiddetta “routers’ domain-trust relationships”, ovvero le connessioni logiche stabilite tra domini in modo che i diritti e i privilegi degli utenti e dei dispositivi in un dominio siano condivisi con l’altro. Ad esempio, consente agli utenti di effettuare il login una volta e di avere accesso a tutte le risorse associate senza doversi autenticare nuovamente. A questo punto il perché della seconda domanda dovrebbe essere chiaro. Serve a poco proteggere con le unghie e con i denti i sistemi centrali, quando si può accedere dalla periferia in modo semplice e assai truffaldino, senza che qualcuno se ne accorga.
Cosa buona e giusta preoccuparsi di proteggere i sistemi.
Guai a farlo preoccupandosi della loro grandezza o collocazione fisica.
La periferia, le piccole reti, meritano la stessa spasmodica attenzione alla sicurezza.
Mai dimenticarlo.