CARETO - The conquest of cyberworld
Questa la strana dicitura trovata tempo fa nel corso di una ricerca sul carnevale. Al momento non ho dato peso, sono tornato alla mia ricerca ma ho conservato la pagina nella cartella "strani" dei miei segnalibri.
Ora sfogliando un giornale che parla di computer, ritrovo un immagine con la stessa dicitura, una maschera, una cartina di vari stati con indicazioni numeriche di obiettivi sensibili attaccati nel mondo, in 31 paesi e con piu' di mille vittime.(OBIETTIVI SENSIBILI: siti di attivisti, diplomatici, Education,enti governativi, ditte private,ambasciate, societa' energetiche, compagnie petrolifere e gas, societa' di recerca ecc.).
Il tutto mi ha incuriosito ed un poco spaventato, ed ho iniziato a fare ricerche. A questo punto sono quasi sicuro che si tratta di qualcosa di portata planetaria ma non riesco a mettere a fuoco il sistema usato.
Inizio col definire CARETO: si tratta di una maschera rituale carnevalesca del portogallo ma di origini celtiche. Tale nome compare nella stringa di istruzioni del malware studiato dai lab Kaspersky, malware usato per bypassare lo stesso antivirus. Ma il discorso vale anche per gli altri antivirus.
Questo pacchetto di strumenti malevoli Careto/The Mask e' costituito da:
rootkit (tradotto "kit di amministratore) quindi software che prende il controllo di un sistema operativo senza autorizzazione degli utenti / amministratori)
bootkit ibrido tra virus che infetta i settori di avvio del hard disk e rootkit (difficilmente intercettabile dagli antivirus)
altre versioni del virus per sistemi operativi Mac OS X, Linux, mobili Android, iOS (iPhone, iPad)
Questo malware APT puo' restare nascosto in una rete per anni inattivo e poi a comando scatenarsi per rubare informazioni sensibili, personali, economiche ma anche dati documenti Office, crittografie, configurazioni rete VPN, chiavi SSH (identificazioni su un server SSH), file RDP che permetto connessioni a computer riservati.
Cio' che piu' fa impressione e che il tutto circola dal 2007 ed ha creato un enorme rete di spionaggio forse con la complicita' incolpevole di tantissimi utenti che magari fanno da server a loro insaputa a questa rete.
Da quello che leggo il malware e' stato diffuso con un phishing molto sofisticato (via internet si inganna la vittima convincendola a fornire dati sensibili).
Da qualche parte ho letto che uno dei sistemi usati e' quello di un falso avviso di criticita' su pagine molto usate (esempio bigG, fb, tweet ecc.) dove si avvisa l'utente di possibili problemi dovuti a tentativi di entrata nel loro account e non si chiedevano le password ma i modi alternativi (esempio risposte a particolari domande presenti sull'account stesso) per sbloccare l'account stesso. Naturalmente tutto fatto da un falso sito perfettamente identico a quello vero che si poneva nella medesima finestra di internet bloccando il vero login e liberandolo solo dopo aver raccolto le informazioni. Esempio: il login e' stato bloccato perche' c'e' stato un accesso a .. da un altra postazione. Rispondi a.... per sbloccare.
Sempre facendo ricerche ho letto che gli analisti di Kaspersky Lab, primi ad analizzare e probabilmente ad aver trovato una soluzione a tale malware, descrivono come "superiore al normale per un gruppo di cyber criminali" la struttura di questo malware, vista la complessita' maggiore rispetto a:
Stuxnet (famoso perche' controllava le centrali nucleari iraniane) o
Duqu - trojan con potenziali simili a Stuxnet
Che dietro a tutto cio' ci fosse un attivita' che doveva restare nell'ombra sembra provato dal fatto che prima della pubblicazione dei dati KasperskyLab tutti i monitoraggi/comunicazioni del malware sono cessati.
Nessun commento:
Posta un commento