Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

“Colpo in banca” ai tempi del cybercrime: fasi dell’attacco e suggerimenti per proteggersi

pittogramma Zerouno

Attualità

“Colpo in banca” ai tempi del cybercrime: fasi dell’attacco e suggerimenti per proteggersi

05 Mag 2017

di Valentina Bucci

35mila dollari rubati in una notte a una banca dell’Europa dell’Est, compromettendone il network, e “ritirando” i contanti tramite i bancomat: che strategia hanno usato i cybercriminali? Quali vulnerabilità sono state sfruttate e, sul piano della sicurezza IT, che suggerimenti si possono trarre analizzando le fasi dell’attacco?

Nell’ottobre 2016, in una banca dell’Europa dell’Est sono stati rubati nel corso di una notte l’equivalente, in valuta locale, di 35mila dollari: sei bancomat (a seguito della compromissione della rete locale della banca e all’installazione di un malware sui bancomat stessi) hanno erogato il denaro ai complici dei cybercriminali che si sono fatti trovare all’ora prestabilita di fronte alle macchine per “ritirali”. È il risultato della strategia messa in atto da “Cobalt”, gruppo specializzato in attacchi che mirano appunto agli ATM. Lo ha confermato Positive Technologies, società specializzata in sicurezza informatica che è stata incaricata di indagare, a seguito dell’incidente, le dinamiche dell’attacco. La strategia usata dai cybercriminali (figura 1) ha sfruttato una serie di vulnerabilità che Positive Technologies stessa segnala come diffuse in tante realtà del Finance: da qui la scelta di riproporre i passaggi svolti dagli attaccanti, sottolineando gli elementi che, nei sistemi di difesa, sono risultati inadeguati per trarne consigli utili a chi si occupa di sicurezza IT nelle banche (ma anche altrove).

Le quattro fasi dell’attacco alla banca:

  • STEP 1 – Phishing ai danni dei dipendenti ➔ sfruttato il “fattore umano”
  • STEP 2 – Diffusione nel network ➔ mancanza di un’adeguata segmentazione della rete
  • STEP 3 – Software legali per operare ➔ sistemi di sicurezza poco sofisticati
  • STEP 4 – Malware sui bancomat  ➔ anche per l’azione finale attaccanti indisturbati

STEP 1 – Phishing ai danni dei dipendenti ➔ sfruttato il “fattore umano”

Per un mese (l’attacco ha inizio i primi di agosto) i dipendenti della banca ricevono svariate e-mail apparentemente spedite da dipendenti di altre banche (figura 2): come hanno rilevato le indagini di Positive Technologies, svariati utenti aprono più volte l’allegato dell’e-mail di phishing mostrando scarsa cultura in ambito sicurezza It; questa è la prima vulnerabilità che apre le porte ai cybercriminali: il “fattore umano”, utenti più formati, avrebbero infatti probabilmente agito con più prudenza. Non solo: l’infezione nasce perché sulla workstation di uno dei dipendenti che ha aperto l’allegato infetto, l’antivirus era disabilitato o non aggiornato; diversamente, come ha provato Positive Technologies, quest’ultimo avrebbe rilevato sia il file infetto, sia le azioni che l’attaccante ha fatto dopo il primo ingresso nella rete, compresa l’installazione sospetta del software Ammyy Admin, di cui a breve parleremo. Anche in questo caso la distrazione dell’utente diventa complice degli attaccanti.

Figura 1 – Esempi di email di phishing indirizzate agli utenti – Fonte: Positive Technologies, “Cobalt Snatch”, 2016

STEP 2 – Diffusione nel network ➔ mancanza di un’adeguata segmentazione della rete

A fine agosto, vari giorni dopo aver compromesso la workstation citata, iniziano le azioni d’attacco per avanzare nel network aziendale: i cybercriminali riescono a compromettere le workstation di utenti chiave e server critici, incluso il terminal server e il domain controller; sono state sottratte tutte le password di tutti gli utenti, compresi gli account degli amministratori. Grazie a un attacco pass-the-hash (attacchi che consentono agli autori di eseguire l’autenticazione a un server o un servizio remoto usando l’hash NTLM sottostante della password di un utente, o altri derivati delle credenziali) gli utenti si sono infatti mossi facilmente verso l’infrastruttura di destinazione: l’autenticazione OS è stata bypassata così, usando un hash della password, senza nemmeno bisogno di conoscere la password stessa. Come fanno notare gli analisti di Positive Technologies, questa rapida diffusione nel network è stata possibile grazie all’assenza di un’adeguata segmentazione della rete e alla cattiva gestione dei privilegi degli utenti: il primo attaccato aveva, senza che fosse necessario da un punto di vista operativo, privilegi di amministratore locale che gli consentivano di gestire tutte le workstation della rete locale e che hanno permesso agli attaccanti di non aver bisogno di exploit aggiuntivi per scalare i loro privilegi.

STEP 3 – Software legali per operare ➔ sistemi di sicurezza poco sofisticati

I cybercriminali, direttamente dai dispositivi infetti, scaricano quindi una serie di software necessari a portare avanti l’attacco, su workstation e server. Si tratta di soluzioni assolutamente legali (per esempio Cobalt Strike è stato usato per “studiare” la banca attraverso dei penetration test e Ammyy Admin, per l’amministrazione remota dei sistemi): una scelta che aiuta gli aggressori a mascherare le loro azioni poiché riconoscere un utilizzo sospetto di questi software risulta più difficile.  Ecco la seconda indicazione per le aziende utenti: avere strategie e sistemi di sicurezza sofisticati diventa essenziale per cogliere segnali d’attacco sempre meno “rumorosi” e sempre meglio mimetizzati con quelli dei normali flussi aziendali.

STEP 4 – Malware sui bancomat  ➔ anche per l’azione finale attaccanti indisturbati

Ai primi di settembre i criminali (sfruttando Мimikatz, un’applicazione anch’essa legale in grado di effettuare il recupero delle password elaborando i cosiddetti file dump) hanno identificato e raccolto le credenziali legate alle postazioni di lavoro dei dipendenti responsabili dei bancomat e delle carte di credito e si sono connessi da remoto alle workstation. Hanno quindi studiato i processi bancari e atteso perché l’importo massimo di denaro contante fosse presente negli ATM. A inizio ottobre hanno caricato il malware sui bancomat e, agendo di notte per ridurre al minimo possibile l’attenzione, hanno reso i soldi disponibili ai complici in attesa di fronte alle macchine.

La misura della gravità di questo caso descritto, che purtroppo non è da considerare anomalo (come fanno notare gli analisti di Positive Technologies, nonostante la ricchezza di informazioni su metodi e strumenti dei criminali, gli attacchi mirati a banche e istituzioni finanziarie di tutto il mondo causano perdite dell’ordine delle centinaia di milioni di dollari), si evidenzia quando Positive Technologies osserva che gli attaccanti hanno fatto davvero pochi sforzi per mascherare le proprie attività illecite, perché fiduciosi del fatto che le loro azioni non sarebbero state notate.

Figura 2 – Strategia degli attaccanti – Fonte: Positive Technologies, “Cobalt Snatch”, 2016

Valentina Bucci
Giornalista

Giornalista pubblicista, per ZeroUno scrive dei cambiamenti che la digitalizzazione sta imponendo alle imprese sul piano tecnologico, organizzativo, culturale e segue in particolare i temi: Sicurezza Informatica, Smart Working, Collaboration, Big data, Iot. Master in Giornalismo e comunicazione istituzionale della scienza (Università di Ferrara), laurea specialistica in Culture Moderne Comparate (Università di Bergamo).

Articolo 1 di 3