McAfee ha pubblicato il rapporto “Night Dragon”, che fa riferimento ad una serie di attacchi provenienti dalla Cina e perpetrati ai danni di una dozzina di multinazionali del settore petrolchimico, energetico e petrolifero. Tra queste sono state identificate 5 aziende con certezza, per le altre sono ancora in corso delle verifiche. I cracker hanno potuto aggirarsi indisturbati almeno per un paio d’anni nei database e nei server delle società coinvolte.
Obiettivo di questi attacchi è stato principalmente il furto di informazioni e dati sensibili dal punto di vista economico e finanziario, ottenuti grazie alla penetrazione sistematica di firewall e reti aziendali, i cui sistemi sono stati sondati con grande pazienza e costanza e quindi ‘bucati’, utilizzando dei ”kit” che si possono acquistare anche su Internet per poche centinaia di dollari.
In almeno un caso i sistemi utilizzati dai criminali informatici del drago notturno sono poi diventati essi stessi dei ”kit”. Alcuni attacchi sembrano risalire addirittura a quattro anni fa. Hanno perciò avuto tutto il tempo di impadronirsi di documenti finanziari relativi allo sfruttamento dei giacimenti di gas e petrolio e dei relativi contratti e piani aziendali e hanno potuto accedere ad informazioni su processi industriali coperti da brevetto. “Si tratta di dati altamente sensibili, che avrebbero un’enorme valore finanziario per i concorrenti - spiega il vice presidente di McAfee Dimitri Alperovitch”.
Non è stato possibile risalire all’identità degli esecutori materiali delle intrusioni, ma gli esperti di McAfee hanno identificato il proprietario di una società con sede nella provincia cinese di Shandong, che fornisce un servizio di web hosting su server americani, sui quali, assicura “non viene tenuta alcuna traccia delle attività svolte”. È su questi server che è stato ospitato il trojan “zwShell” che è stato poi utilizzato dai cyber crminali come grimaldello per penetrare nelle infrastrutture delle multinazionali.
Per le intrusioni sono stati utilizzati due metodi principali: il phishing, con delle email contenenti link a siti infetti, visitando i quali veniva scaricato silenziosamente nel computer dei dipendenti delle società il virus, e l’attacco attraverso SQL injection ai server pubblici. Una volta dentro, gli attaccanti quindi caricano hacker tool liberamente disponibili sui server compromessi, al fine di ottenere visibilità nella rete interna.
“Un evento del genere - afferma Alperovitch - la dice lunga sulla sicurezza delle nostre infrastrutture critiche. Quelli rilevati non erano attacchi sofisticati, ma sono stati comunque in grado di raggiungere degli obiettivi”. Ancora una volta, dopo gli attacchi a Google dello scorso anno, la minaccia proviene dalla Cina e anche in questa occasione non è possibile stabilire se si tratti di azioni sponsorizzate dal governo cinese oppure dell'opera di criminali isolati, nè si conoscono gli eventuali danni prodotti dall’attacco informatico.
Nessun commento:
Posta un commento