Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Spyware, come difendersi dai malware non rilevabili come Turla e dintorni

pittogramma Zerouno

SICUREZZA

Spyware, come difendersi dai malware non rilevabili come Turla e dintorni

11 Set 2014

di redazione TechTarget

Viene dalla Russia lo spyware Turla, che ha compromesso la sicurezza dei sistemi americani ed europei. Un malware invisibile da studiare per imparare a identificarlo e a proteggersi

Chi si occupa di sicurezza e protezione ICT non può essere rimasto indifferente allo spyware Turla. Questo malware, dalla Russia è riuscito a infiltrarsi in centinaia di sistemi informativi, danneggiando aziende americane ed europee, intaccando persino i più ultrablindati ambienti informatici governativi.

Gli esperti che analizzano il fenomeno parlano di letargo informatico, alludendo all’incapacità di percepire il pericolo da parte dei responsabili della sicurezza e nella lentezza di concentrare i propri sforzi sull’analisi e il rilevamento dello spyware. Per proteggersi dai malware non rilevabili gli esperti ribadiscono esserci solo un modo: studiarli e capirli.


Attacchi alla sicurezza sempre più invisibili
Parallelamente allo sviluppo dell’elaborazione computazionale in generale, e dei computer in particolare, nel tempo si sono evoluti anche gli attacchi alla sicurezza ICT.

Non è una novità che i malintenzionati continuino ad adottare tecniche di sviluppo software sempre più sofisticate. In realtà, il fatto che anche gli hacker debbano rimanere costantemente aggiornati è un segnale positivo perchè significa che le protezioni attivate dai vendor e dai responsabili della sicurezza funzionano. Le campagne di guerra della pirateria informatica sono comunque sempre attive e sempre più pericolose.


Come funziona lo spyware Turla e tutti i malware a orologeria
La campagna APT Turla, ad esempio, comporta diverse tecniche davvero all’avanguardia per un malware decisamente avanzato e con un tipo di sviluppo software altamente professionale. Gli artefici dello spyware Turla hanno messo un grandissimo impegno nella progettazione di quella che è, a tutti gli effetti, una sorta di bomba a orologeria applicativa, con una manifestazione del malware a lungo termine.

Il design si caratterizza per una struttura modulare, con una pianificazione automatizzata delle diverse componenti dell’attacco. In pratica ogni volta che viene intercettata una nuova tecnica di attacco, il team di sviluppo può facilmente integrare la nuova funzionalità e avere il controllo del malware dal sistema di comando, ottenendo l’adeguato aggiornamento.

In un articolo di Reuters, una fonte anonima racconta come il team di sviluppo dello spyware Turla adotti una tecnica simile a quella utilizzata in un attacco manuale. Quando l’hacker si accorge che una parte dell’attacco è stato rilevato, avendo cognizione che anche gli altri componenti del malware possono essere scoperti, cambia tattica, sospendendo gli attacchi o accelerando l’attacco.

Nello spyware Turla, proprio come per altri malware, l’hacker arriva ad eliminare anche i log dal sistema locale in modo che questi non possano essere utilizzati per identificare le attività minacciose.


Più intelligenti sono i sistemi, più intelligente diventa il malware
Lo spyware Turla, infatti, è progettato per sospendere le operazioni se capisce che c’è in atto un tentativo di rilevamento e che sta per essere rilasciato un aggiornamento in grado di ridurre le probabilità di attacco. In questo modo il malware Turla abbassa le probabilità di essere scoperto, attraverso l’attuazione di un monitoraggio delle infrastrutture di comando e di controllo. Addirittura se il sistema di sicurezza rivela che un nodo centrale sta per essere disattivato, il malware si mette in stand by fino a nuovo segnale.

Come combattere lo spyware Turla e i malware di questo tipo, dunque? Gli esperti suggeriscono alle aziende di adottare un dispositivo antimalware a livello di rete, di implementare uno strumento di analisi del malware che controlli il sistema dei nomi di dominio e di implementare uno strumento di rilevamento delle anomalie di rete o, ancora, strumenti di sicurezza avanzati a livello di endpoint.

redazione TechTarget

Articolo 1 di 5