Nell’ottobre 2016, in una banca dell’Europa dell’Est sono stati rubati nel corso di una notte l’equivalente, in valuta locale, di 35mila dollari: sei bancomat (a seguito della compromissione della rete locale della banca e all’installazione di un malware sui bancomat stessi) hanno erogato il denaro ai complici dei cybercriminali che si sono fatti trovare all’ora prestabilita di fronte alle macchine per “ritirali”. È il risultato della strategia messa in atto da “Cobalt”, gruppo specializzato in attacchi che mirano appunto agli ATM. Lo ha confermato Positive Technologies, società specializzata in sicurezza informatica che è stata incaricata di indagare, a seguito dell’incidente, le dinamiche dell’attacco. La strategia usata dai cybercriminali (figura 1) ha sfruttato una serie di vulnerabilità che Positive Technologies stessa segnala come diffuse in tante realtà del Finance: da qui la scelta di riproporre i passaggi svolti dagli attaccanti, sottolineando gli elementi che, nei sistemi di difesa, sono risultati inadeguati per trarne consigli utili a chi si occupa di sicurezza IT nelle banche (ma anche altrove).
Le quattro fasi dell’attacco alla banca:
- STEP 1 – Phishing ai danni dei dipendenti ➔ sfruttato il “fattore umano”
- STEP 2 – Diffusione nel network ➔ mancanza di un’adeguata segmentazione della rete
- STEP 3 – Software legali per operare ➔ sistemi di sicurezza poco sofisticati
- STEP 4 – Malware sui bancomat ➔ anche per l’azione finale attaccanti indisturbati
STEP 1 – Phishing ai danni dei dipendenti ➔ sfruttato il “fattore umano”
Per un mese (l’attacco ha inizio i primi di agosto) i dipendenti della banca ricevono svariate e-mail apparentemente spedite da dipendenti di altre banche (figura 2): come hanno rilevato le indagini di Positive Technologies, svariati utenti aprono più volte l’allegato dell’e-mail di phishing mostrando scarsa cultura in ambito sicurezza It; questa è la prima vulnerabilità che apre le porte ai cybercriminali: il “fattore umano”, utenti più formati, avrebbero infatti probabilmente agito con più prudenza. Non solo: l’infezione nasce perché sulla workstation di uno dei dipendenti che ha aperto l’allegato infetto, l’antivirus era disabilitato o non aggiornato; diversamente, come ha provato Positive Technologies, quest’ultimo avrebbe rilevato sia il file infetto, sia le azioni che l’attaccante ha fatto dopo il primo ingresso nella rete, compresa l’installazione sospetta del software Ammyy Admin, di cui a breve parleremo. Anche in questo caso la distrazione dell’utente diventa complice degli attaccanti.
STEP 2 – Diffusione nel network ➔ mancanza di un’adeguata segmentazione della rete
A fine agosto, vari giorni dopo aver compromesso la workstation citata, iniziano le azioni d’attacco per avanzare nel network aziendale: i cybercriminali riescono a compromettere le workstation di utenti chiave e server critici, incluso il terminal server e il domain controller; sono state sottratte tutte le password di tutti gli utenti, compresi gli account degli amministratori. Grazie a un attacco pass-the-hash (attacchi che consentono agli autori di eseguire l’autenticazione a un server o un servizio remoto usando l’hash NTLM sottostante della password di un utente, o altri derivati delle credenziali) gli utenti si sono infatti mossi facilmente verso l’infrastruttura di destinazione: l’autenticazione OS è stata bypassata così, usando un hash della password, senza nemmeno bisogno di conoscere la password stessa. Come fanno notare gli analisti di Positive Technologies, questa rapida diffusione nel network è stata possibile grazie all’assenza di un’adeguata segmentazione della rete e alla cattiva gestione dei privilegi degli utenti: il primo attaccato aveva, senza che fosse necessario da un punto di vista operativo, privilegi di amministratore locale che gli consentivano di gestire tutte le workstation della rete locale e che hanno permesso agli attaccanti di non aver bisogno di exploit aggiuntivi per scalare i loro privilegi.
STEP 3 – Software legali per operare ➔ sistemi di sicurezza poco sofisticati
I cybercriminali, direttamente dai dispositivi infetti, scaricano quindi una serie di software necessari a portare avanti l’attacco, su workstation e server. Si tratta di soluzioni assolutamente legali (per esempio Cobalt Strike è stato usato per “studiare” la banca attraverso dei penetration test e Ammyy Admin, per l’amministrazione remota dei sistemi): una scelta che aiuta gli aggressori a mascherare le loro azioni poiché riconoscere un utilizzo sospetto di questi software risulta più difficile. Ecco la seconda indicazione per le aziende utenti: avere strategie e sistemi di sicurezza sofisticati diventa essenziale per cogliere segnali d’attacco sempre meno “rumorosi” e sempre meglio mimetizzati con quelli dei normali flussi aziendali.
STEP 4 – Malware sui bancomat ➔ anche per l’azione finale attaccanti indisturbati
Ai primi di settembre i criminali (sfruttando Мimikatz, un’applicazione anch’essa legale in grado di effettuare il recupero delle password elaborando i cosiddetti file dump) hanno identificato e raccolto le credenziali legate alle postazioni di lavoro dei dipendenti responsabili dei bancomat e delle carte di credito e si sono connessi da remoto alle workstation. Hanno quindi studiato i processi bancari e atteso perché l’importo massimo di denaro contante fosse presente negli ATM. A inizio ottobre hanno caricato il malware sui bancomat e, agendo di notte per ridurre al minimo possibile l’attenzione, hanno reso i soldi disponibili ai complici in attesa di fronte alle macchine.
La misura della gravità di questo caso descritto, che purtroppo non è da considerare anomalo (come fanno notare gli analisti di Positive Technologies, nonostante la ricchezza di informazioni su metodi e strumenti dei criminali, gli attacchi mirati a banche e istituzioni finanziarie di tutto il mondo causano perdite dell’ordine delle centinaia di milioni di dollari), si evidenzia quando Positive Technologies osserva che gli attaccanti hanno fatto davvero pochi sforzi per mascherare le proprie attività illecite, perché fiduciosi del fatto che le loro azioni non sarebbero state notate.