I rischi legati alla proprietà intellettuale sono connessi al furto e/o alterazione non autorizzata. Le PMI che basano la loro attività commerciale su brevetti, marchi e progetti devono dunque difendere correttamente il proprio core business informativo. Le attività di spionaggio aziendale operato dal gruppo “Butterfly” e scoperte da Symantec agli inizi di luglio, ci aiutano a far luce sulle più recenti tipologie di rischio. Ne abbiamo parlato con Antonio Forzieri, Cyber Security Practice Lead, EMEA di Symantec, che ci ha illustrato modus operandi del gruppo e mezzi di contrasto applicabili.
=> Sicurezza IT e cybercrime nelle PMI
Spionaggio Butterfly
Butterfly (inizialmente denominato Morpho) ha capacità, competenze e contatti per rendere lo spionaggio digitale un nuovo business. Il gruppo sottrae informazioni legate alla proprietà intellettuale per propri scopi illeciti, su commissione o per la vendita a terze parti. Butterfly è ancora attivo, agisce nell’ombra e resta pericoloso per le aziende che non dispongono dei corretti strumenti di rilevazione.Compagnie hi-tech quali Twitter, Facebook, Apple e Microsoft hanno segnalato fin dal 2013 la compromissione di siti internet usati da sviluppatori Mobile mediante malware e “Java zero-day” exploit. Symantec ha in realtà rilevato attività fin dal 2012, con attacchi protratti fino ad oggi.
Il gruppo opera a un livello alto di spionaggio industriale e insider-trading, anche transnazionale; gli attacchi sono perpetrati da un gruppo e non un singolo individuo; il malware usato è descritto in inglese fluente come rileva il meme AYBABTU (All Your Base Are Belong To Us, ndr) usato come chiave di cifratura nella Backdoor.Jiripbot; i picchi di attacco corrispondo al fuso americano, potenziale localizzazione delle vittime ma forse anche della base operativa; il gruppo ha aumentato il livello di attività negli ultimi tre anni mantenendo comunque un basso profilo.
Butterfly costituisce un rischio serio per le imprese con specifica proprietà intellettuale; anche il recente caso della italiana Hacking Team dovrebbe convincere le aziende a implementare maggiori protezioni contro danni e attacchi alle informazioni core, proprie e dei clienti. Non ci sono stime sul giro d’affari di questo nuovo business (l’ultima ricerca symantec sul cybercrime riguarda il furto di dati, con costi del black market per ogni tipo di dato sottratto), ma presumibilmente si parla di milioni di dollari.
=> Impatto economico del cybercrime
Strumenti di attacco
Butterfly opera con strumenti malware che sembrano sviluppati internamente. I più importanti sono due back door Trojan: OSX.Pintsized che apre una back door su Mac OS X e la sua controparte per Windows Backdoor.Jiripbot, soggetta a continui aggiornamenti negli ultimi due anni. Butterfly annovera anche una serie di hacking tools:
- Hacktool.Securetunnel, versione modificata di OpenSSH con codice aggiuntivo per passare attraverso un indirizzo server di comando e controllo (C&C) e una porta, arrivando a un computer infetto.
- Hacktool.Bannerjack, per recuperare messaggi di default pubblicati da Telnet, HTTP e dai generici server TCP. Si ritiene sia usato per localizzare qualunque potenziale server vulnerabile all’interno della rete locale, incluse anche stampanti, router, server http ecc..
- Hacktool.Multipurpose per agevolare i propri movimenti nel network infetto pubblicando event logs per nascondere l’attività, scaricando password, cancellando o decriptando file ed effettuando una enumerazione della rete di base.
- Hacktool.Eventlog per analizzare gli event logs, estrapolando quelli d’interesse ed eliminando le voci, uccidendo i processi per una sicura autodistruzione.
- Hacktool.Proxy.A per creare una connessione proxy volta a smistare il traffico sul proprio punto di destinazione attraverso uno snodo intermedio.
Target
Poichè Butterfly cerca informazioni aziendali, molti attacchi riguardano Microsoft Exchange o i server mail di Lotus Domino. Altri sistemi di interesse potrebbero riguardare i sistemi di gestione di documenti, policy aziendale e finanziaria, descrizioni di prodotto, report sulla formazione e alcuni sistemi specializzati come ad esempio il Sistema di “Physical Security Information Management” (PSIM), usato per la gestione e il monitoraggio dei sistemi di sicurezza fisica incluse le carte magnetiche di accesso.
Contromisure
I malware possono essere scoperti utilizzando gli aggiornamenti di sicurezza Symantec e Norton, diffusi in specifici bollettini antivirus: OSX.Pintsized, Backdoor.Jiripbot, Hacktool.Multipurpose, Hacktool.Securetunnel, Hacktool.Eventlog, Hacktool.Bannerjack, Hacktool.Proxy.A. Per le attività di intrusion prevention system sono disponibili le signatures per Backdoor.Jiripbot DGA Activity e per Backdoor.Jripbot Activity. Il più efficace consiglio per le aziende è di tenere aggiornate le soluzioni di sicurezza ed effettuare un assessment interno per individuare e classificare le informazioni aziendali rispetto al rischio di alterazione RID (Riservatezza, Integrità, Disponibilità), per poi scegliere contromisure specifiche.
Per approfondimenti: blog post e whitepaper pubblicati dal Security Response dell’azienda Symantec.
![missione_cybersicurezza_cover[2][3]](https://cdn.pmi.it/9-e3ps13GgmtvDZ2BxlmtkmNTko=/320x172/smart/https://www.pmi.it/app/uploads/2024/03/missione-cybersicurezza-cover23.jpg)
