Gli sforzi del cybercrime ai danni dei sistemi informatici sono in continua evoluzione. I ricercatori di IBM X-Force Red hanno sviluppato per primi un ‘proof of concept’ (PoC), che potrebbe essere il prossimo passo nell’evoluzione del cybercrime. Si chiama Warshipping e combina soluzioni tecnologiche innovative con altre più tradizionali.
Come funziona
Questa tecnica utilizza un computer a basso costo e di scarsa potenza per eseguire da remoto attacchi a distanza ravvicinata, indipendentemente dalla posizione nella quale si trova il criminale informatico.
In concreto si tratta di far recapitare presso l’ufficio della vittima un pacco che nasconde un piccolo dispositivo contenente a sua volta un modem con connessione 3G. Grazie al chip wireless integrato, il device rileva le reti wi-fi circostanti per tracciare il pacco postale. C
harles Henderson, capo dell’unità operativa offensiva IBM spiega: “Una volta che vediamo che il modem è arrivato a destinazione, siamo in grado di controllare a distanza il sistema e mettere in esecuzione strumenti per attaccare passivamente, o attivamente, l’accesso wireless del bersaglio”.
Un attacco tramite warshipping
Quando la scatola è fisicamente all’interno dell’azienda, il dispositivo entra in azione registrando tutti i dati wireless utili per entrare nella rete, il processo di autorizzazione di un utente per accedervi e invia queste informazioni all’hacker attraverso la rete cellulare, in modo che possa decifrarle e ottenere la password Wi-Fi.
Utilizzando questo accesso, il cyber criminale può navigare attraverso la rete aziendale, cercando sistemi vulnerabili, dati esposti e rubando informazioni sensibili o le credenziali dell’utente.
Una minaccia dal grande potenziale
Secondo Henderson, questa tipologia di attacco potrebbe diventare una minaccia segreta ed efficace: è economica, usa e getta e può facilmente passare inosservata, senza farsi notare dalla vittima. Inoltre, l’hacker può gestire tutto il processo tendendosi a debita distanza.
Con l’ingente numero di pacchi che ogni giorno transita attraverso gli uffici posta delle aziende, è facile trascurarne alcuni. Un aspetto che rende particolarmente pericoloso il Warshipping è il fatto che può aggirare anche le protezioni della posta elettronica che sono state attivate per impedire che malware e altri attacchi si insinuino attraverso gli allegati.
Come proteggere la propria azienda
Dato che si tratta di un vettore fisico sul quale non si ha nessun controllo, può sembrare che non ci sia nessuna soluzione per fermare questa minaccia. Questo è un caso in cui il controllo delle e-mail e la diffidenza verso gli allegati sospetti non funzionerà. Tuttavia, si può bloccare. I comandi di controllo provengono dal dispositivo stesso. Questo significa che si tratta di un processo esterno al sistema dell’azienda.
Il modulo Panda Adaptive Defense arresta automaticamente qualsiasi processo estraneo ad un sistema IT. Una connessione con il server C&C (Command and Control) dell’hacker che utilizza il warshipping è un meccanismo sconosciuto per la soluzione di Panda Security. Per questo sarà bloccato e l’infrastruttura informatica sarà al sicuro.
Per ora, il Warshipping è solo un PoC e non è stato usato per nessun attacco reale. Tuttavia, l’incessante creatività dei criminali informatici potrebbe farlo diventare una realtà.
