A cura di Guillaume Lovet, senior manager EMEA FortiGuard Labs, Fortinet
È di qualche giorno fa la notizia ripresa dai quotidiani di tutto il mondo relativa all’attacco sferrato dall’Isis al sito dell’emittente televisiva francese TV5. Difficile capirne la dinamica senza avere accesso agli elementi in mano in queste ore agli investigatori. Tuttavia è molto probabile che il modus operandi dei “cyber-jihadisti” non si sia discostato molto rispetto a quello visto lo scorso gennaio in occasione degli attacchi al sito del quotidiano transalpino Le Monde e ad altri media statunitensi, quando era stato creato un “varco” nella rete tramite l’invio di e-mail con allegati maligni a una o più persone della redazione.
Una volta aperto, l’allegato (sia esso un file eseguibile, ma anche un pdf o un doc) installa un Trojan sul computer della vittima che di fatto apre una breccia nella rete consentendo agli hacker di entrarvi senza problemi. Si tratta di una tecnica molto diffusa e, per la verità, poco sofisticata da un punto di vista tecnico: è molto semplice reperire online i kit necessari (allegato + trojan + server per controllare il file da remoto) il cui prezzo varia a seconda della qualità e dell’efficacia, arrivando fino a $1.000 con supporto tecnico incluso.
Il successo di questo approccio si basa sulla sofisticazione del “social engineering” per spingere il destinatario dell’e-mail ad aprire l’allegato senza esitazioni. La stessa tecnica viene utilizzata di frequente negli attacchi APT.
Tornando alla cronaca, è la prima volta che viene presa di mira un’emittente televisiva, tuttavia il fatto che i programmi siano stati interrotti solo per qualche ora, mostra come gli hacker non siano riusciti a prendere il controllo totale del canale. È possibile infatti che l’interruzione delle trasmissioni sia stato un effetto collaterale causato dalla presenza del worm sulla rete di TV5, e non fosse nelle intenzioni originali dei terroristi. Del resto non sorprende affatto che un virus abbia effetti materiali “collaterali”. Nel 2013, per esempio, l’attacco alle banche coreane noto come ”DarkSeoul” aveva letteralmente messo fuori uso diversi sportelli bancomat, mentre nel 2009 il worm Conficker aveva paralizzato numerosi sistemi informatici impedendo ai caccia francesi di decollare perché impossibilitati a caricare il proprio piano di volo. Studiando altri attacchi sferrati dai cyber-jihadisti, si può presumere che il loro obiettivo fosse quello di acquisire gli accessi ai profili Twitter e Facebook dell’emittente. A mio parere sembra eccessivo pensare che il loro piano prevedesse il controllo del canale, non credo siamo di fronte a un’unità speciale creata ad hoc dall’Isis, ma all’iniziativa di cyber-criminali che agiscono – e agiranno – in modo individuale bersagliando siti di media e profili social di personalità famose. Per il controllo totale di un canale televisivo sono necessari ben altri investimenti e risorse, per cui allo stato attuale è un’ipotesi ancora remota.
È opportuno tuttavia che anche le emittenti televisive prendano delle contromisure. Secondo il sito breaking3zero.com, il Trojan utilizza uno script VBS. Per questo motivo ne abbiamo recuperati alcuni che sembrano molto simili e li stiamo analizzando nei nostri laboratori. Essi non funzionano su Windows 7 (e alcuni addirittura su sistemi operativi meno recenti), quindi per consentire al Trojan di operare abbiamo dovuto creare un ambiente Windows XP. È chiaro che se si scoprisse che la rete di TV5 si basa ancora su questo sistema operativo la cosa sarebbe quantomeno preoccupante…
Il primo step per difendersi è quindi quello di assicurarsi che i sistemi siano aggiornati e protetti con le più recenti soluzioni di sicurezza e poi è fondamentale segmentare la rete di modo che un’eventuale infezione nel dipartimento di contabilità non si diffonda ai sistemi di video editing (ai quali i contabili non hanno comunque accesso) seminando il panico.