FinSpy: il più avanzato tool di spionaggio

 
Tratto da Blog Kaspersky
Autore: Julia Glazova – 13/10/2021
 
 

 
 
Lo spyware FinSpy prende di mira gli utenti di Android, iOS, macOS, Windows e Linux.

È un programma spyware commerciale utilizzato dalle forze dell’ordine e dalle agenzie governative di tutto il mondo. FinSpy ha acceso per la prima volta il radar dei ricercatori nel 2011, quando i documenti relativi ad esso sono apparsi su WikiLeaks. Il codice sorgente è apparso online nel 2014, ma la storia di FinSpy non finisce di certo lì: dopo ulteriori modifiche, il malware continua ad infettare i dispositivi di tutto il mondo, fino ad oggi.

FinSpy è versatile, con versioni per computer su Windows, macOS e Linux, così come su dispositivi mobili con Android e iOS. Le sue capacità variano a seconda della piattaforma, ma in tutti i casi il malware impiega vari mezzi per trasmettere quantità di dati, segretamente, ai suoi gestori.

Come si è diffuso FinSpy

Lo spyware ha diversi modi per infiltrarsi nei dispositivi Windows.

Per esempio, può nascondersi in pacchetti di distribuzione infetti, compresi i download di TeamViewer, VLC Media Player, WinRAR e altri. Scaricando e eseguendo l’applicazione modificata è esattamente come si mette in moto una catena di infezione a più fasi.

Inoltre, i ricercatori Kaspersky hanno trovato il malware loader in componenti che si caricano prima del sistema operativo: UEFI (Unified Extensible Firmware Interface, l’interfaccia attraverso la quale il sistema operativo comunica con l’hardware) e MBR (Master Boot Record, necessario per avviare Windows). In entrambi i casi, il semplice avvio del computer porta all’installazione di FinSpy.

Uno smartphone o un tablet possono infettarsi con un link in un SMS.

In alcuni casi (per esempio, se sull’iPhone della vittima non è stata avviata la procedura di jailbreak), il criminale informatico potrebbe aver bisogno di un accesso fisico al dispositivo, il che complica un po’ il tutto. Inoltre, sembra che l’accesso fisico sia necessario ai cybercriminali per infettare i dispositivi Linux, ma non è possibile dirlo con certezza.

Quali dati ruba FinSpy?

FinSpy ha ampie capacità di sorveglianza dell’utente. Per esempio, le versioni per PC del malware possono:

  • Accendere il microfono e registrare o trasmettere tutto ciò che sente;
  • Registrare o trasmettere in tempo reale tutto ciò che l’utente digita sulla tastiera;
  • Accendere la telecamera e registrare o trasmettere immagini da essa;
  • Rubare i file con cui l’utente interagisce: accede, modifica, stampa, riceve, cancella e così via;
  • Scattare screenshot o salvare una sezione dello schermo su cui l’utente fa clic;
  • Rubare e-mail dai clienti di Thunderbird, Outlook, Apple Mail e Icedove;
  • Intercettare contatti, chat, chiamate e file su Skype.

Inoltre, la versione Windows di FinSpy può origliare le chiamate VoIP, intercettare certificati e chiavi di cifratura di certi protocolli, scaricare ed eseguire strumenti di raccolta di dati forensi. Oltre a tutto questo, la versione Windows di FinSpy può infettare gli smartphone BlackBerry, quindi anche questa piattaforma, ormai in disuso, non è trascurata.

Per quanto riguarda le versioni mobili di FinSpy, possono ascoltare e registrare le chiamate (voce o VoIP), leggere i messaggi di testo e monitorare l’attività degli utenti nelle app di messaggistica istantanea come WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal e Threema. Lo spyware mobile invia anche agli operatori una lista di contatti della vittima, chiamate, eventi del calendario, dati di geolocalizzazione e molto altro.

Come fare per evitare FinSpy

Sfortunatamente, non è così facile proteggersi del tutto dallo spyware di livello governativo. Tuttavia, si possono prendere alcune precauzioni contro FinSpy e altre app di sorveglianza:

  • Scaricare le app solo da fonti fidate, sia per programmi per cellulari che per desktop o laptop. Inoltre, gli utenti Android dovrebbero vietare l’installazione da fonti sconosciute per ridurre le possibilità di infezione;
  • Fermarsi e pensare prima di cliccare su link in e-mail e messaggi di sconosciuti. Prima di cliccare, controllare attentamente dove porta il link;
  • Non fare il jailbreak dello smartphone o tablet; il rooting di Android e il jailbreak di iOS rendono le effrazioni molto più facili;
  • Non lasciare i dispositivi incustoditi dove degli estranei ne hanno accesso;
  • Installare una protezione affidabile su tutti i dispositivi che si possiedono.

14 Ottobre 2021

Spyware modulare Pegasus: il commento di Kaspersky

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 21/07/2021
 
 
Dmitry Galov, security researcher del GReAT team di Kaspersky, ha commentato le funzionalità dello spyware modulare Pegasus
 

spyware

 

Pegasus è uno spyware modulare per iOS e Android. Nel 2016 è stata scoperta una versione di Pegasus per iOS, successivamente ne è stata trovata anche una versione per Android, leggermente diversa dalla prima. Uno dei suoi principali schemi di infezione è il seguente: la vittima riceve un SMS contenente un link che, una volta cliccato, infetta il dispositivo con uno spyware. Inoltre, secondo informazioni pubbliche, per infettare iOS lo spyware sfrutterebbe le vulnerabilità zero-day trovate nel sistema.

Quando noi di Kaspersky abbiamo studiato Pegasus per Android nel 2017, lo spyware si è dimostrato in grado di leggere gli SMS e le e-mail della vittima, ascoltare le chiamate, acquisire screenshot, registrare le sequenze di tasti e accedere ai contatti e alla cronologia del browser. Ma le sue funzionalità non si esauriscono qui. Vale anche la pena notare che Pegasus è un malware piuttosto complesso e costoso, progettato per spiare individui di particolare interesse, quindi è improbabile che l’utente medio venga preso di mira.

Quanto sono comuni le vulnerabilità come Pegasus che consentono di spiare le persone? Oggi esistono esempi di questo tipo disponibili sul darknet e quanto sono utilizzati in generale?

Vale la pena distinguere tra due concetti: spyware e vulnerabilità. Pegasus è uno spyware con versioni sia per dispositivi iOS che Android. Anche quando abbiamo studiato Pegasus per Android nel 2017, lo spyware poteva leggere SMS e e-mail della vittima, ascoltare le chiamate, acquisire screenshot, registrare sequenze di tasti, accedere ai contatti, alla cronologia del browser e ad altro ancora.

Inoltre è noto che, per infettare iOS, lo spyware sfrutta le vulnerabilità zero-day trovate nel sistema. Si tratta di vulnerabilità di cui lo sviluppatore non è a conoscenza e per le quali non è ancora stata rilasciata una patch, ma che possono essere sfruttate dai criminali informatici per implementare vari tipi di attacchi, inclusi attacchi mirati rivolti a organizzazioni o persone specifiche.

Sia gli spyware che le vulnerabilità zero-day possono essere venduti e acquistati da vari gruppi sulla darknet. Il prezzo delle vulnerabilità può raggiungere i 2,5 milioni di dollari: questo è quanto è stato offerto nel 2019 per l’intera catena di vulnerabilità Android. È interessante notare che nello stesso anno, per la prima volta, una vulnerabilità di Android si è rivelata più costosa di una vulnerabilità di iOS.

Cosa dovrebbero fare gli utenti per proteggersi da questi attacchi?

Il modo migliore per proteggersi da questi strumenti è fornire quante più informazioni possibili su questi attacchi ai fornitori di software e sicurezza. Gli sviluppatori di software risolveranno le vulnerabilità sfruttate dai threat actor e i fornitori di sicurezza adotteranno misure per rilevare tali minacce e proteggere gli utenti.

21 Luglio 2021

Come evitare un attacco “evil-maid” o della cameriera malvagia

Tratto da Blog Kaspersky
Autore: Bender The Robot – 10/12/2020
 
 
Ecco come proteggere il vostro computer aziendale da accessi fisici non autorizzati
 

Un attacco evil-maid è il più primitivo che ci sia, ma è anche una delle tipologie più spiacevoli. Avventandosi sui dispositivi incustoditi, la “cameriera malvagia” cerca di rubare informazioni segrete o di installare spyware e strumenti per l’accesso remoto, con lo scopo di entrare nella rete aziendale. In questo post vi spiegheremo come difendervi.

Un esempio classico

Nel dicembre 2007, una delegazione del Dipartimento del Commercio degli Stati Uniti si è recata a Pechino per un colloquio su una strategia comune con lo scopo di fermare la pirateria. Al ritorno negli Stati Uniti, tuttavia, il portatile del segretario conteneva degli spyware la cui installazione richiede l’accesso fisico al computer. Il proprietario del portatile ha confermato di aver avuto il dispositivo sempre con sé durante le trattative e di averlo lasciato nella sua stanza d’albergo, nella cassaforte, solo durante la cena.

In teoria, un professionista può compromettere un dispositivo in 3 o 4 minuti, ma questo genere di situazioni tende a verificarsi quando il computer viene lasciato incustodito e sbloccato (o non protetto da password). Ma anche prendendo le dovute misure di sicurezza di base, un attacco evil-maid può comunque essere possibile.

Come fanno i criminali informatici ad accedere alle informazioni?

Esistono molti modi per arrivare alle informazioni critiche; dipende da quanto è vecchio il computer e dal software di sicurezza attivo. Ad esempio, i dispositivi meno recenti che non supportano l’Avvio protetto (Secure Boot) possono essere avviati mediante unità esterne e, di conseguenza, non hanno mezzi per difendersi dagli attacchi evil-maid. Sui PC moderni di solito l’Avvio protetto è attivo di default.

Le porte di comunicazione che supportano lo scambio veloce di dati o l’interazione diretta con la memoria del dispositivo possono servire per l’estrazione di dati personali o aziendali. Thunderbolt, ad esempio, raggiunge la sua elevata velocità di trasmissione dati attraverso l’accesso diretto alla memoria, spalancando le porte agli attacchi evil-maid.

La scorsa primavera, l’esperto di sicurezza informatica Björn Ruytenberg ha condiviso un modo per violare la sicurezza di qualsiasi dispositivo Windows o Linux con Thunderbolt abilitato, anche se bloccato e disattivata la connessione di dispositivi non convenzionali attraverso interfacce esterne. Il metodo di Ruytenberg, soprannominato Thunderspy, presuppone l’accesso fisico al dispositivo e bisogna riscrivere il firmware del controller.

Per portare a termine Thunderspy, il cybercriminale deve riprogrammare il chip Thunderbolt con la sua versione del firmware. Il nuovo firmware disabilita la protezione incorporata e il cybercriminale ottiene il pieno controllo del dispositivo.

In teoria, la politica di protezione DMA del kernel risolve la vulnerabilità, ma non tutti la utilizzano (e con le versioni prima di Windows 10 non era possibile). Tuttavia, Intel ha annunciato una soluzione al problema: Thunderbolt 4.

La cara, vecchia USB può servire anche come canale di attacco. Un dispositivo in miniatura, inserito in una porta USB, si attiva quando l’utente accende il computer e può eseguire un attacco BadUSB.

Se le informazioni che cercano sono particolarmente preziose, i cybercriminali potrebbero anche provare a rubare il dispositivo per sostituirlo con uno simile che contiene già lo spyware, un’impresa ardua e costosa. Certo, lo scambio verrà smascherato abbastanza in fretta, ma molto probabilmente solo dopo che la vittima avrà inserito la propria password. Per fortuna come abbiamo detto, si tratta di un’operazione difficoltosa e onerosa.

Come ridurre i rischi al minimo

Il modo più semplice e affidabile per proteggervi dagli attacchi evil-maid è quello di custodire il dispositivo in un luogo al quale solo voi avete accesso. Non lasciatelo in una stanza d’albergo se potete evitarlo, per esempio. Se i vostri dipendenti devono andare in viaggio d’affari con un computer portatile, ecco alcune misure che potete adottare per attenuare i rischi:

  • Utilizzate portatili temporanei senza accesso a sistemi aziendali critici o a dati di lavoro, quindi formattate l’hard disk e reinstallate il sistema operativo dopo ogni viaggio;
  • Richiedete ai dipendenti di spegnere i portatili prima di lasciarli incustoditi;
  • Cifrate gli hard disk di tutti i computer che saranno portati fuori dall’ufficio;
  • Utilizzate soluzioni di sicurezza che blocchino il traffico in uscita sospetto;
  • Assicuratevi che la soluzione di sicurezza rilevi gli attacchi BadUSB (come fa Kaspersky Endpoint Security for Business);
  • Aggiornate tempestivamente tutti i software, in particolare il sistema operativo;
  • Limitate l’accesso diretto alla memoria del dispositivo attraverso FireWire, Thunderbolt, PCI e PCI Express su ogni dispositivo che lo consente.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

14 Dicembre 2020