Alfonso Maruccia

McAfee e il cyber-spionaggio lungo un lustro

La security enterprise statunitense dice di aver individuato la più lunga campagna di cyberattacchi mai scoperta. Un singolo gruppo (o un singolo individuo) ha rubato informazioni per anni a organizzazioni in ogni parte del mondo

McAfee e il cyber-spionaggio lungo un lustroRoma - McAfee ha tracciato i contorni di quella che è stata definita l'operazione "Shady RAT", ovvero una campagna di cyberattacchi che ha preso di mira ben 72 diverse organizzazioni e che si è protratta almeno per 5 anni. I cyber-spioni hanno rubato informazioni riservate e controllato server di ogni genere di soggetto - istituzionale, militare, aziendale e via elencando.

Si tratta dell'offensiva concentrata più estesa della storia, dice McAfee, con una regia ben salda nelle mani di un singolo o di un gruppo di attaccanti presumibilmente operanti dalla Cina. La maggior parte dei soggetti colpiti si trova negli USA (49), mentre le vittime restanti sono distribuite tra paesi quali Canada, Danimarca, Germania, Indonesia, Singapore, Corea del Sud, Vietnam.

Le organizzazioni prese di mira comprendono agenzie governative e statali (USA), contractor della Difesa, governi, società non profit, gruppi di pressione, lobby, società private operanti nel settore delle energie rinnovabili. In ogni caso l'attacco è partito con la più classica campagna di phishing via posta elettronica, a cui è seguita l'installazione di un malware sulla macchina dell'impiegato improvvido e la "migrazione" del controllo da remoto a una diversa zona della rete interna.
In alcuni casi le intrusioni sono durate fino a due anni, dice McAfee, fatto corroborato dai log di accesso ottenuti dalla security enterprise recentemente acquisita da Intel su un server di comando&controllo usato dalla gang telematica.

Non sembra che gli attaccanti fossero alla caccia di informazioni sensibili da rivendere sul mercato dell'underground, sostiene McAfee, quanto piuttosto di dati di intellgence eventualmente utili per accrescere la capacità competitiva di un paese nei confronti delle nazioni concorrenti.

Il fatto che tra i bersagli ci fossero organizzazioni come Western National Olympic Committees, International Olympic Committee (IOC) e World Anti-Doping Agency, poi, lascia intravedere una regia politica dietro gli attacchi che punta dritta a Pechino e al regime comunista cinese. McAfee non chiama in causa la Cina in maniera diretta, ma ribadisce il concetto secondo cui i dati rubati non porterebbero guadagni o vantaggi economici diretti agli ignoti autori dell'operazione.

Alfonso Maruccia
Notizie collegate
34 Commenti alla Notizia McAfee e il cyber-spionaggio lungo un lustro
Ordina
  • "In ogni caso l'attacco è partito con la più classica campagna di phishing via posta elettronica,"
    di sicuro questi attacchi sono stati fatti contro chi usa l'SO ciofeca! Occhiolino
    e il bello é che se ne sono accorti dopo anni! uella che sicurezza, che affidabilità, che tecnologia all'avanguardia... ha ha ha ha ha ha
    -----------------------------------------------------------
    Modificato dall' autore il 04 agosto 2011 11.30
    -----------------------------------------------------------
  • E' il rovescio della medaglia di avere il 90% del mercato.

    Se lo avessero Linux o OSX sarebbe la stessa cosa su quei sistemi.

    Difficile da dimostrare. Vero.
    Difficile anche dimostrare che linux o OSX sono affidabilissimi.
    non+autenticato
  • - Scritto da: Non Me
    > E' il rovescio della medaglia di avere il 90% del
    > mercato.
    >

    avere il 90 % del mercato non c'entra niente con la insicurezza e la prova é proprio quello che é successo nel caso che stiamo discutendo...
    sulle nostre strade girano migliaia fiat panda ma non é per questo che sono più sicure di una mercedes, no?
    suvvia, discutiamo apportando qualche motivazione tecnica x favore... e non solo chiacchere da bar...
  • - Scritto da: hacher
    > - Scritto da: Non Me
    > > E' il rovescio della medaglia di avere il
    > 90%
    > del
    > > mercato.
    > >
    >
    > avere il 90 % del mercato non c'entra niente con
    > la insicurezza e la prova é proprio quello che é
    > successo nel caso che stiamo
    > discutendo...
    > sulle nostre strade girano migliaia fiat panda ma
    > non é per questo che sono più sicure di una
    > mercedes,
    > no?
    > suvvia, discutiamo apportando qualche motivazione
    > tecnica x favore... e non solo chiacchere da
    > bar...


    ECCOTI

    http://punto-informatico.it/b.aspx?i=3237279&m=323...

    Occhiolino
    Fiber
    3605
  • cioé, tutte le tue capacità e conoscenze tecnologiche si fermano a questo copia/incolla?... di bene in meglio.. ha ha ha ecco perché i cinesi hanno vita facile!
  • - Scritto da: hacher
    > cioé, tutte le tue capacità e conoscenze
    > tecnologiche si fermano a questo
    > copia/incolla?... di bene in meglio.. ha ha ha
    > ecco perché i cinesi hanno vita facile!

    Figurati che questo soggetto una volta per esaltare la grafica di windows ha mostrato immagini di programmi per unix Rotola dal ridereRotola dal ridere... abbiamo dovuto spiegarglielo noi che le schermate che stava linkando non erano quello che credeva lui Rotola dal ridere
    -----------------------------------------------------------
    Modificato dall' autore il 04 agosto 2011 12.22
    -----------------------------------------------------------
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: hacher
    > > cioé, tutte le tue capacità e conoscenze
    > > tecnologiche si fermano a questo
    > > copia/incolla?... di bene in meglio.. ha ha
    > ha
    > > ecco perché i cinesi hanno vita facile!
    >
    > Figurati che questo soggetto per esaltare la
    > grafica di windows ha mostrato immagini di
    > programmi per unix
    > Rotola dal ridereRotola dal ridere

    noooooo, che fffiguraaa... ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha ha
  • - Scritto da: hacher
    > cioé, tutte le tue capacità e conoscenze
    > tecnologiche si fermano a questo
    > copia/incolla?... di bene in meglio.. ha ha ha
    > ecco perché i cinesi hanno vita
    > facile!


    eccoti

    http://punto-informatico.it/b.aspx?i=3237411&m=323...
    Fiber
    3605
  • preso dallo sconforto ora fai pure i copia/incolla doppi? ha ha ha ha ah ha ah ah
    ti saluto amico e ti lascio alle tue paranoie.. Occhiolino
  • Mi sfugge nell'articolo la citazione del SO coinvolto.
    (Ammetto che non ho cercato altre fonti)

    Mi pare che cmq anche tu ragioni su illazioni personali: http://www.honeynet.org/ il tuo caro sistemino non é poi tanto sicuro come pensi, solo poco diffuso...

    Inoltre, ti ho spiegato che basta il controllo su un router a darmi l'accesso alla rete e quindi ai dati che vi circolano, senza coinvolgere il SO. A volte si sottovaluta la struttura di rete e si pensa solo all'interfaccia utente.
    non+autenticato
  • ti sfugge l'SO coinvolto?... la tua ingenuità fa tenerezza Sorride

    ho guardato il link che hai postato ma a me questo Guido Landi non mi convince molto... non ho tempo x fare una ricerca perché vado a mangiare... ci risentiamo dopo...
  • >>In ogni caso l'attacco è partito con la più classica campagna di phishing via posta elettronica, a cui è seguita l'installazione di un malware sulla macchina dell'impiegato improvvido e la "migrazione" del controllo da remoto a una diversa zona della rete interna. <<


    l'impiegato
    aziendale con davanti il computer abbocca e clicca sul link tarocco nella phishing mail che gli porta il browser a navigare sul sito con exploit ..il browser web che usa non ha nemmeno il controllo antiphishing come invece hanno tutti i browser in modo tale da bloccare appunto la navigazione al sito phishing   ...in piu' ciliegina sulla torta l'account che sta usando l'impiegato è Administrator Rotola dal ridere + con doppia ciliegina sulla torta il browser web che sta usando non è aggiornato all'ultima versione priva di vulnerabilià = usa anche il browser con vulnerabilità di sicurezza aperta in modo tale che l'exoploit su vulnerabilita' di remote arbitrary code execution vada a buon fine e quindi gli si installi sul computer qualsiasi software malevolo ..esattamente come avvenuto...

    l'antimalware come ultimo layer di sicurezza a strati a questo punto do' per scontato che nemmeno fosse installato ed aggiornato sui computer


    Morale: dire che certa gente che fa il sistemista per configurare le macchine aziendali cosi' in vakka dovrebbe andar a vendere le zucchine all'ortomercato invece che spacciarsi appunto per sistemista e' dire sempre poco..ovvero e' sempre fare un complimento a tutta questa schiera di ciarlatani che ci sono in giro per il mondo e che vengono pure pagati salati Rotola dal ridere
    Fiber
    3605
  • <cut>
    > l'impiegato aziendale con davanti il
    > computer abbocca e clicca sul link tarocco nella
    > phishing mail
    La società non ha un sistema di filtraggio delle mail sospette ...
    > che gli porta il browser a
    > navigare sul sito con exploit ...
    La società non opera dietro ad un proxy costante mente aggiornato che blocca l'accesso a siti di dubbia utilità? O meglio permette l'accesso ai soli siti che gli servono?
    > il browser web che usa non ha nemmeno il controllo antiphishing
    Disabilitato spesso perché disturba
    > come invece hanno tutti i browser in modo tale
    > da bloccare appunto la navigazione al sito
    > phishing   ...in piu' ciliegina sulla torta
    > l'account che sta usando l'impiegato
    >
    è Administrator Rotola dal ridere + con doppia
    > ciliegina sulla torta il browser web che sta
    > usando non è aggiornato all'ultima versione priva
    > di vulnerabilià = usa anche il browser con
    > vulnerabilità di sicurezza aperta in modo tale
    > che l'exoploit su vulnerabilita' di remote
    > arbitrary code execution vada a buon fine e
    > quindi gli si installi sul computer qualsiasi
    > software malevolo ..esattamente come
    > avvenuto...
    > l'antimalware come ultimo layer di sicurezza a
    > strati a questo punto do' per scontato che
    > nemmeno fosse installato ed aggiornato sui
    > computer
    >
    >
    > Morale:
    Ma siamo in Italia alloraA bocca aperta
    Al di la degli scherzi, ma in che cavolo di ditta lavora ...
    -----------------------------------------------------------
    Modificato dall' autore il 04 agosto 2011 06.46
    -----------------------------------------------------------
  • - Scritto da: Fragy

    > Ma siamo in Italia alloraA bocca aperta
    > Al di la degli scherzi, ma in che cavolo di ditta
    > lavora..

    in quelle ditte dove i computer desktop client e le reti sono gestite da pagliacci e clown ..

    li pagano per fare i pagliacci invece che andare a lavorare al circo equestre
    Fiber
    3605
  • Se prendiamo di buono quello che c'é scritto nell'articolo, una vena di ragione la avete. Ma vorrei far notare che la rete sicura per antonomasia non esiste e non é che un utente con diritti limitati e un SO con browser aggiornato sono esenti da attacchi.

    La porta di entrata nella rete puó essere:
    - un vecchio printserver
    - una utility non aggiornata
    - un Cisco iOS non aggiornato (insomma un border router mal configurato)
    - un impiegato infedele (soprattutto con gli stipendi attuali...)

    A quel punto, la "mia" macchina é in rete e non mi serve nemmeno l'accesso al SO di un altro PC. Risorse poche, pazienza molta e tutto é possibile.

    Non sparate a zero su sconosciuti amministratori di sistema, soprattutto se dietro all'operazione c'é un'organizzazione governativa! Non avreste una chance nemmeno voi...
    Certo, l'accesso si puó rendere ostico, ma non impossibile.
    non+autenticato
  • - Scritto da: Non Me
    > Se prendiamo di buono quello che c'é scritto
    > nell'articolo, una vena di ragione la avete. Ma
    > vorrei far notare che la rete sicura per
    > antonomasia non esiste e non é che un utente con
    > diritti limitati e un SO con browser aggiornato
    > sono esenti da
    > attacchi.
    >
    > La porta di entrata nella rete puó essere:
    > - un vecchio printserver
    > - una utility non aggiornata
    > - un Cisco iOS non aggiornato (insomma un border
    > router mal
    > configurato)
    > - un impiegato infedele (soprattutto con gli
    > stipendi
    > attuali...)
    >
    > A quel punto, la "mia" macchina é in rete e non
    > mi serve nemmeno l'accesso al SO di un altro PC.
    > Risorse poche, pazienza molta e tutto é
    > possibile.
    >
    > Non sparate a zero su sconosciuti amministratori
    > di sistema, soprattutto se dietro all'operazione
    > c'é un'organizzazione governativa! Non avreste
    > una chance nemmeno
    > voi...
    > Certo, l'accesso si puó rendere ostico, ma
    > non
    > impossibile.

    partendo dal presupposto che io mi baso e commento in base a cio' che c'è scritto nell'articolo + le relative fonti di PI ed in base a quello do le risposte come ho fatto sopra..per il resto su di una macchina desktop con account Limitato non si puo' installare nessun programma come autoinstallare su vulnerabilita' nessun malware a livello kernel mode amenoche' non sia presente in qualche componente di sistema come il Kernel una vulnerabilita' di Elevation of Privilege ( EoP) e piu' questa vulnerabilita' deve essere da remoto = Remote EoP = rarità della rarita' ....sempre a causa di sistemi desktop aziendali non tenuti aggiornati con le distributed patch alle patch mensili di sicurezza dal Sys Admin = sistemi senza patch da mesi e mesi

    anche in questo caso trattasi sempre di soliti pagliacci senonche' ciarlatani
    -----------------------------------------------------------
    Modificato dall' autore il 04 agosto 2011 11.29
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fragy

    > Al di la degli scherzi, ma in che cavolo di ditta
    > lavora
    > ...

    in una dove usano un SO ciofeca che ha fatto dell'insicurezza la sua miliore qualità!
  • - Scritto da: hacher
    > - Scritto da: Fragy

    > > Al di la degli scherzi, ma in che cavolo di
    > > ditta lavora...

    > in una dove usano un SO ciofeca che ha fatto
    > dell'insicurezza la sua miliore qualità!

    Sono giusto in girello per uffici... Su un XP con account limitati... Sai quello che non ti consente neanche di guardare il calendario Rotola dal ridereRotola dal ridereRotola dal ridere
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: hacher
    > > - Scritto da: Fragy
    >
    > > > Al di la degli scherzi, ma in che
    > cavolo
    > di
    > > > ditta lavora...
    >
    > > in una dove usano un SO ciofeca che ha fatto
    > > dell'insicurezza la sua miliore qualità!
    >
    > Sono giusto in girello per uffici... Su un XP con
    > account limitati... Sai quello che non ti
    > consente neanche di guardare il calendario
    > Rotola dal ridereRotola dal ridereRotola dal ridere



    a si?

    facci vedere Rotola dal ridere dimostracelo Rotola dal ridere
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: krane
    > > - Scritto da: hacher
    > > > - Scritto da: Fragy
    > >
    > > > > Al di la degli scherzi, ma in che
    > > cavolo
    > > di
    > > > > ditta lavora...
    > >
    > > > in una dove usano un SO ciofeca che ha
    > fatto
    > > > dell'insicurezza la sua miliore qualità!
    > >
    > > Sono giusto in girello per uffici... Su un
    > XP
    > con
    > > account limitati... Sai quello che non ti
    > > consente neanche di guardare il calendario
    > > Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    >
    >
    > a si?
    >
    > facci vedere Rotola dal ridere dimostracelo Rotola dal ridere

    http://www.microsoft.com/italy/athome/security/onl...

    Come riconoscere il tipo di account in uso

    Se utilizzi Microsoft Windows XP, sposta il cursore sull'orologio posto in basso a destra sullo schermo. Fai clic con il pulsante destro del mouse sull'orologio, quindi su Modifica data/ora.

    • Se utilizzi un account di tipo utente con limitazioni, verrà visualizzato un messaggio che afferma che non disponi del livello di privilegio richiesto per modificare l'ora di sistema.
    •Se utilizzi un account di amministratore, verrà visualizzata una finestra che contiene i controlli che consentono di modificare la data e l'ora sul computer.

    Notare che non mostra neanche il calendario, si sa che chi non e' amministratore non deve sapere che giorno e'.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Fiber
    > > - Scritto da: krane
    > > > - Scritto da: hacher
    > > > > - Scritto da: Fragy
    > > >
    > > > > > Al di la degli scherzi, ma in
    > che
    > > > cavolo
    > > > di
    > > > > > ditta lavora...
    > > >
    > > > > in una dove usano un SO ciofeca
    > che
    > ha
    > > fatto
    > > > > dell'insicurezza la sua miliore
    > qualità!
    > > >
    > > > Sono giusto in girello per uffici... Su
    > un
    > > XP
    > > con
    > > > account limitati... Sai quello che non
    > ti
    > > > consente neanche di guardare il
    > calendario
    > > > Rotola dal ridereRotola dal ridereRotola dal ridere
    > >
    > >
    > >
    > > a si?
    > >
    > > facci vedere Rotola dal ridere dimostracelo Rotola dal ridere
    >
    > http://www.microsoft.com/italy/athome/security/onl
    >
    > Come riconoscere il tipo di account in uso
    >
    > Se utilizzi Microsoft Windows XP, sposta il
    > cursore sull'orologio posto in basso a destra
    > sullo schermo. Fai clic con il pulsante destro
    > del mouse sull'orologio, quindi su Modifica
    > data/ora.
    >
    > • Se utilizzi un account di tipo utente con
    > limitazioni, verrà visualizzato un messaggio che
    > afferma che non disponi del livello di privilegio
    > richiesto per modificare l'ora di
    > sistema.
    > •Se utilizzi un account di amministratore, verrà
    > visualizzata una finestra che contiene i
    > controlli che consentono di modificare la data e
    > l'ora sul
    > computer.
    >
    > Notare che non mostra neanche il calendario, si
    > sa che chi non e' amministratore non deve sapere
    > che giorno
    > e'.

    prima di switchare ad account Limitato il sistemista setta la policy su Attivo    da GPMC= Microsoft Group Policy Management Console

    non sai usare niente a livelli sistemi It

    meglio che ti dai all'ippica
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: krane
    > > - Scritto da: Fiber
    > > > - Scritto da: krane
    > > > > - Scritto da: hacher
    > > > > > - Scritto da: Fragy

    > > > > > > Al di la degli scherzi,
    > > > > > > ma in che cavolo di
    > > > > > > ditta lavora...

    > > > > > in una dove usano un SO
    > > > > > ciofeca che ha fatto
    > > > > > dell'insicurezza la sua
    > > > > > miliore qualità!
    > > > > Sono giusto in girello per
    > > > > uffici... Su un XP con
    > > > > account limitati... Sai quello
    > > > > che non ti consente neanche di
    > > > > guardare il calendario
    > > > > Rotola dal ridereRotola dal ridereRotola dal ridere

    > > > si?
    > > > facci vedere Rotola dal ridere dimostracelo
    > > > Rotola dal ridere

    > > http://www.microsoft.com/italy/athome/security/onl
    > > Come riconoscere il tipo di account in uso
    > > Se utilizzi Microsoft Windows XP, sposta
    > > il cursore sull'orologio posto in basso a
    > > destra sullo schermo. Fai clic con il
    > > pulsante destro del mouse sull'orologio,
    > > quindi su Modifica data/ora.

    > > • Se utilizzi un account di tipo utente
    > > con limitazioni, verrà visualizzato un
    > > messaggio che afferma che non disponi
    > > del livello di privilegio richiesto per
    > > modificare l'ora di sistema.
    > > •Se utilizzi un account di amministratore,
    > > verrà visualizzata una finestra che
    > > contiene i controlli che consentono di
    > > modificare la data e l'ora sul computer.

    > > Notare che non mostra neanche il
    > > calendario, si sa che chi non e'
    > > amministratore non deve sapere
    > > che giorno e'.

    > prima di switchare ad account Limitato il
    > sistemista setta la policy su Attivo
    >
       da GPMC= Microsoft Group Policy
    > Management Console

    Non ho password di amministrazione qui, sono ospite.

    > non sai usare niente a livelli sistemi It
    > meglio che ti dai all'ippica

    Che c'entro io ??? Se vuoi ti do' la mail dei sistemisti che si occupano di active directory di $GROSSAMULTINAZIONALE e ci parli tu.
    krane
    22544