Secondo i soliti bene informati, l’attacco condotto nei mesi scorsi ai danni di RSA potrebbe aver avuto origine da un’azione di phishing. Come molti ricorderanno, la falla nei sistemi di sicurezza dell’azienda statunitense viene resa nota lo scorso marzo direttamente dal presidente di RSA Coviello; l’esiguità delle informazioni rilasciate è tale da non permettere di farsi un’idea precisa della gravità del problema; ma la preoccupazione che l’attacco ai server dell’azienda possa aver compromesso i token utilizzati per l’autenticazione a doppio fattore si diffonde molto rapidamente. E le preoccupazioni permangono nonostante le assicurazioni di Coviello secondo cui il pericolo sarebbe velocemente rientrato, sia per il tempestivo intervento dei tecnici di sicurezza sia perché le informazioni sottratte difficilmente sarebbero state utili a compromettere il meccanismo di autenticazione. Dopo circa un mese lo stesso Coviello è costretto a ritornare sulla vicenda fornendo qualche dettaglio in più sulla dinamica dell’attacco per placare la ridda di illazioni che nel frattempo si è scatenata. Coviello racconta che le cose potrebbero essere andate più o meno in questo modo: un file infetto di Excel contenente un trojan sarebbe stato recapitato per posta elettronica ad alcuni dipendenti. Il file, sfruttando una falla in Flash, sarebbe riuscito a installarsi sui Pc ospiti creando una piccola, ma efficace botnet all’interno della rete aziendale. L’azione di phishing targetizzato verso alcuni dipendenti gerarchicamente di basso livello sarebbe stato il trampolino dal quale sarebbe partita la scalata verso gli account di importanza maggiore, questo avrebbe dato il via libera alla sottrazione di documentazione via Ftp. Il caso Torpig - e come vedremo la botnet TDL-4 – in effetti ci insegnano che l’esecuzione di malware può avvenire anche senza che l’utente abbia diritti amministrativi. Torpig è una botnet progettata per sottrarre info sensibili come i dati di accesso al conto bancario online o quelli della carta di credito. In apparenza è solo uno degli innumerevoli troiani che infestano la Rete. In realtà per l’infrastruttura cui si appoggia, le tecniche che utilizza e soprattutto i danni economici che è in grado di provocare, si colloca a un gradino più in alto rispetto al resto del malware in circolazione. Il contagio provocato da Torpig (conosciuto anche con i nomi di Anserin o Sinowal) prende avvio con l’infezione del master boot record dell’host sotto attacco. L’infezione origina dalla distribuzione di malware tramite il rootkit Mebroot. Mebroot fornisce una piattaforma sulla quale installare, disinstallare e attivare moduli come le Dll. Mebroot contatta il proprio C&C Center, scarica i moduli infetti e poi li installa in forma criptata nella directory system32 del disco C; in questo modo anche in caso di riavvio della macchina, Mebroot riutilizza il modulo infetto senza aver più bisogno di effettuare il download. Poi rinomina i moduli nella stessa directory, utilizzando nomi di file già presenti, avendo però l’accorgimento di dotarli di un’estensione diversa per non destare sospetti. Dopo il primo contatto con il proprio server, Mebroot continuerà a contattarlo a intervalli periodici sia per comunicargli la sua configurazione attuale - tipologia e versione dei moduli installati - che per ricevere eventuali aggiornamenti. Tutte le comunicazioni avvengono mediante http request e sfruttano un avanzato algoritmo di crittografia proprietario. Nel caso della botnet Torpig il server di C&C di Mebroot distribuisce i moduli infetti iniettandoli anche in applicazioni quali l’Scm (Service Control Manager - services.exe), il file manager, alcuni Web browser come Firefox, Opera, IE, client Ftp (CuteFtp e LeechFtp) e di posta (Eudora, Thunderbirds, Outlook), instant messenger (ICQ e Skype) e programmi di sistema (come l’interprete dei comandi di Windows cmd.exe). Una volta effettuata l’injection di codice Torpig è in grado di ispezionare tutti i dati utilizzati dai programmi infetti, identificando e salvando quelli più interessanti, quali credenziali di accesso online e password salvate. Ogni 20 minuti Torpig si mette in contatto con il server di C&C e rilascia i dati sottratti. La comunicazione con il server è protetta da un semplice meccanismo di encoding basato su XOR-11 che cifra il testo in chiaro con una chiave a 8 byte. Oltre a questa attività di tipo passivo Torpig effettua altresì azioni di phishing che si svolgono in due fasi. Durante la prima, quando la macchina infetta naviga su uno dei domini specificati nel file di configurazione, Torpig esegue una richiesta di injection a un apposito server. Il server risponde identificando una pagina esca (trigger page) sul dominio dal quale far partire l’attacco, in genere la pagina di accesso sul sito; contemporaneamente identifica un Url sul server di iniezione che contiene il codice che dà inizio all’azione di phishing e successivamente il server setta i parametri per finalizzare l’attacco. In seguito, quando la macchina infetta naviga sulla trigger page (la pagina esca), Torpig attiva l’iniezione dalla Url e poi salva il contenuto nel browser a bordo del bot. Tipicamente si tratta di un form Html che richiede info sensibili come numeri di carta di credito e, nei Paesi dove questi dati hanno un valore, codici della previdenza sociale. Questi attacchi di phishing sono di difficile individuazione anche per gli utenti esperti. Il codice iniettato è in grado di riprodurre fedelmente la pagina Web fasulla e l’indirizzo corretto dell’Url, così come di riprodurre i corretti settaggi nelle impostazioni del browser e della configurazione dell’Ssl. Meglio dunque non sottovalutare la forza del phishing. Né ritenersi al sicuro soltanto perché si è limitato il numero di account con privilegi amministrativi, barriera questa aggirabile se il malware consente di inserire un keylogger che al primo login di un utente amministratore in modalità “run as”, è in grado di impadronirsi delle credenziali amministratore.