Who's Who
Technology HowTo
Alcuni ricercatori sul tema sicurezza hanno recentemente rivelato come Carbanak (un gruppo famoso per gli attacchi informatici a istituti finanziari con ingenti sottrazioni di denaro) abbia usato i servizi di cloud di Google per tenere sotto controllo il malware installato in reti protette (la notizia è del gennaio di quest’anno). Per compromettere le reti aziendali i cyber-criminali hanno la necessità di comunicare con il malware installato all’interno, superando i blocchi rappresentati dai meccanismi di whitelist verso gli IP sconosciuti oppure l’ispezione dei flussi-dati in cerca di attività pericolose. Nei casi studiati, i cyber-criminali sono riusciti ad aggirare le protezioni di rete sfruttando alcuni servizi molto diffusi, che hanno libero accesso attraverso i firewall. Qualcosa di simile era accaduto con il malware CloudFanta che usava come exploit il servizio SugarSync. La diffusione ben più ampia dei servizi di Google (per esempio, per condividere dati e progetti con i clienti attraverso le Google Apps) minaccia di avere un impatto ben maggiore.
Come ridurre il rischio del malware nel cloud
Un metodo per bloccare il malware che utilizza il cloud è quello di bloccare i servizi di Google usando le tecniche di whitelist e blacklist, laddove questo non crea interferenze con il business. A meno di non estendere la protezione a tutti i servizi cloud, si tratta comunque di una difesa parziale. Evidenziare il traffico pericoloso da e verso Google è difficile e richiede tempo. Ispezionare il traffico SSL, per esempio, assorbe molta potenza di elaborazione e può ridurre le prestazioni della rete. Il modo migliore per difendersi resta quello di evitare la prima infezione con il malware che i cyber-criminali inviano attraverso gli attach di posta elettronica, come in molti altri attacchi.
Le email sfruttano il social engineering per convincere i dipendenti a cliccare su un file attach: nel caso di Carbanak, un documento Word contenente macro. La linea di difesa consiste nella preparazione dello staff e nell’essere certi che tutti i dipendenti conoscano i rischi nell’aprire gli attach. Oltre alla formazione sono utili test periodici di e-mail phishing per controllare le reazioni e quindi il rischio. Il malware usato dai più avanzati gruppi criminali non è normalmente rilevabile dagli antivirus o dalle protezioni endpoint. Per questo è utile disabilitare le macro nei prodotti Microsoft e usare dei gateway di filtraggio dell’email per eliminare la gran parte del phishing che finisce nelle inbox dei dipendenti. Le informazioni riguardanti i metodi del gruppo Carbanak sono state date a Google per fermare gli attacchi. Come spesso accade nel settore della sicurezza, i criminali troveranno presto altri trucchi: per questo la difesa più efficace resta quella di lavorare, con formazione e consapevolezza per evitare l’infezione iniziale.
