Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del cyber-terrorismo

L’evoluzione dei Sistemi Informativi Ospedalieri e le Minacce Informatiche 2015 – ASL Pescara

Gianni 'guelfoweb' Amato

Site → www.securityside.it Blog → www.gianniamato.it Email → amato@securityside.it Twitter → @guelfoweb

Gianni AmatoIndependent Security Researcher

Ethical Hacking | Cyber Security | Digital Forensics

Chi sono gli attori

Quali armi

Dove procurarsele

In sintesi

Ma c'è anche dell'altro

Chi gestisce i blackmarket?

Chi ne usufruisce?

Quanto costamettere a segno un

attacco?

Dipende dallatipologia di attacco.

- DDoS ≈ 500€- 0/1day fno a 100.000€→

Chi può essere interessato a sborsare cifre esorbitanti per

sferrare un attacco?

Live Attacks | map.ipviking.com

Aprile 2007 – Attacco DDoS isola l'Estonia da Internet. Il governo estone afferma senza mezzi termini di aver individuato l'aggressore: la Russia di Vladimir Putin. La Russia nega!

Controversia: aver spostato da Tallin il soldato di bronzo con uniforme dell'armata russa.

Attacchi provenienti da IP localizzati in Russia e dai servizi di sicurezza di Mosca.

Giugno 2010 – Viene scoperto Stuxnet. Il primo malware di stato, diffuso dal governo USA in collaborazione col governo Israeliano con lo scopo di sabotare la centrale nucleare iraniana di Natanz.

(diffusione iniziata nel 2006 con il governo Bush nell'ambito dell'operazione „Giochi Olimpici“ che prevedeva una serie di attacchi contro l'Iran)

Dicembre 2010 – I sostenitori di Wikileaks sferrano un attacco DDoS a Paypal e varie società di servizi finanziari.

#OpPayback per aver bloccato i finanziamenti degli utenti al sito WikiLeaks

Ottobre 2011 – Il governo tedesco commissiona alla Digitask la realizzazione di una cimice informatica per intercettare e registrare le comunicazioni Skype per Windows.

I dati vengono trasmessi a due server localizzati negli Stati Uniti e in Germania.

Ottobre 2012 – Il New York Times denuncia una serie di attacchi riconducibili al governo cinese. Violati gli account email di giornalisti e dipendenti.

Il NYT aveva pubblicato un articolo sulle indagini riguardanti il primo ministro Wen Jiabao e la fortuna fatta da alcuni suoi parenti.

Novembre 2012 – Viene individuato Wiper. Un soldato inviato in missione sul campo di battaglia per rimuovere le tracce di Stuxnet.

Novembre 2013 – Una vulnerabilità di tipo 0day in Firefox 17 ESR, versione usata da TOR Browser per navigare il deep web, viene sfruttata dal FBI per risalire all'identità di utenti TOR.

Qualcuno la chiama cyberwar. Più che di guerra, per la maggior parte dei casi, forse è meglio parlare di cyber spionaggio o, appunto, operazioni mirate con coinvolgimento dello stato.

Operazioni ambigue:

2013 - Regin → Stati Uniti/Regno Unito/Cina (?)2014 - Attacco a Sony → Corea del Sud/ISIS (?)

Non tutti sono nelle condizioni di investire

ingenti somme per sferrare un attacco

Metodi alternativi

Informazioni reperibili online senza bisogno di scomodare il profondo web.

Carte di credito valide, lista di siti web vulnerabili (sqli), account compromessi, etc.

Per chi sa cercare non è difficoltoso reperire queste

informazioni.

Vulnerabilità shellshock, lista di oltre 400 web server vulnerabili

Recente lista di domini governativi vulnerabili

Isis, attacco ai governi

Isis, attacco al Washingtonpost

La propaganda social

The Dawn of Glad Tidings

Per restare aggiornati su tutte le attività del gruppo

Target

Isis, bandiera nera sul Colosseo

Vi risparmio altri tipi di propaganda jihadista

Foto e video choc di decapitazioni e massacri divulgate sui social

La risposta di Anonymous al Terrorismo Islamico

#OpISIS #GhostSec

#OpISIS – La risposta di Anonymous al Terrorismo Islamico

#OpISIS – La risposta di Anonymous al Terrorismo Islamico

#OpCharlieHeddo

Anonymous #Op*

Le operazioni del gruppo hacktivista

Anonymous, attacco a Farmaciegravidanza.gov.it

Anonymous, attacco a Padiglioneitaliaexpo2015.com

Anonymous, attacco a Best Union (impresa coinvolta nell'organizzazione evento Expo2015). I dati sono in chiaro.

Anonymous, attacco a Difesa.it

Che fne fanno i dump?

Nomi, indirizzi email, carte di credito, informazioni personali

Cosa può accadere se queste informazioni fniscono nelle

mani sbagliate?

Il rischio: operazioni mirate a singoli individui o attraverso

singoli individui.

Social engineering

Ransomware- Lock Screen- MBR- Data Encryption

Ransomware: Lock Screen

Ransomware: Master Boot Record

Ransomware: Data Encryption (aka Cryptolocker)

Non chiamiamoli. Chiamiamoli criminali!

...e quindi?

Dove sono i BACKUP?

NON ho i BACKUP ma ho sentito parlare di decryptolocker!

Lavora con poche varianti, di certo non aiuta per le nuove.

Quindi PAGO e recupero i miei dati?

Si, ma potresti perdere altro.

Non dimentichiamo che sono dei criminali, potrebbero – non è una novità - fregarti

per una seconda volta.

Il decryptor può contenere una backdoor

Quindi?Chiedere una consulenza a

una persona esperta in materia prima di

avventurarsi.

Grazie per l'attenzione.

Gianni Amato | @guelfoweb