Gli esperti di sicurezza del Microsoft Malware Protection Center hanno svelato i particolari dell’operazione Platinum, condotta contro un gruppo di cyber-criminali che negli anni passati hanno preso di mira bersagli di alto profilo in territorio asiatico.
Attivo dal 2009, il gruppo di cyber-criminali che Redmond ha classificato come Platinum ha infatti compromesso organizzazioni governative e militari, agenzie di intelligence, provider di telecomunicazioni e altro ancora.
La tecnica di infiltrazione più comune prevedeva l’uso di campagne di spear-phishing per compromettere le credenziali di accesso di altro profilo, spiega Microsoft, e da lì i criminali hanno potuto sfruttare un meccanismo di aggiornamento di Windows poco noto ma potenzialmente molto pericoloso chiamato “hotpatching”.
Introdotto inizialmente con Windows Server 2003, il succitato meccanismo delle “patch a caldo” permette di aggiornare i componenti del sistema operativo (eseguibili, DLL e non) senza necessità di riavvio: Microsoft stessa ha usato l’hotpatching per 10 update a Windows Server 2003, mentre il meccanismo è stato rimosso da Windows con Windows 8.
I cracker di Platinum hanno compromesso la funzionalità di hotpatching di Windows e sono riusciti a passare inosservati per anni, spiega Redmond, e solo grazie all’uso dei feedback di dati anonimizzati degli utenti Windows la corporation è riuscita a identificare la minaccia.
Alfonso Maruccia