Check Point ha recentemente segnalato la pericolosa campagna di cyberspionaggio globale battezzata “Volatile Cedar”. Ne parliamo con Michael Shalyt, Malware Research Team Leader di Check Point Software Technologies.
– Come avete individuato il primo attacco di Volatice Cedar nel 2012? Quali segnali sono stati determinanti?
Check Point ha rilevato il malware “Explosive” su un server web residente nella rete di un cliente. Non possiamo entrare troppo nel dettaglio per questioni di privacy del nostro cliente ma abbiamo riscontrato che il vettore di attacco iniziale si caratterizza per la sua attività “rumorosa”, che ne rende possibile il rilevamento.
– Quali strumenti avete adottato per tracciare, giorno per giorno, l’evolversi della situazione?
L’indagine è ancora in corso e quindi non possiamo rivelare tutto. Alcuni dei metodi sono: il reverse engineering dei vari campioni di malware, i domini “sinkholing” e l’adozione di firme multiple per il controllo del traffico.
Più in dettaglio, come opera questo tipo di minaccia? Quali sono gli step adottati dagli hacker?
– Lo strumento principale dell’attaccante è un impianto di malware personalizzato con nome in codice “Explosive” (nome scelto dagli aggressori). In aggiunta, abbiamo trovato degli strumenti di hacking comuni come scanner di vulnerabilità, web shells e codici exploit pubblici.
– Secondo le vostre analisi, quanti sistemi sono stati attaccati? Quali e quanti danni sono stati provocati secondo le vostre stime?
Questi dati sono in continua evoluzione. Per ora possiamo affermare che, tra gli obiettivi confermati, abbiamo rilevato realtà nell’ambito della difesa, aziende di telecomunicazioni e media, oltre a strutture education. Possiamo confermare infezioni attive in circa 10 diversi Paesi, tra cui Stati Uniti, Canada, Regno Unito, Turchia, Libano e Israele.
– Quali sono le possibili contromisure che gli enti e le aziende possono attuare per difendersi?
Check Point ha contattato i nostri partner del settore della sicurezza, fornendo tutte le informazioni necessarie per identificare e proteggere le infrastrutture da questa campagna. Per tutelarsi in modo efficace sono necessarie politiche di sicurezza e aggiornamenti hardware e software costanti per i propri sistemi, oltre a solidi web server.