Finanza e cyberattacchi: come gli hacker rubano i milioni con DarkVishnya

Pietre, archi, pistole, ordigni e byte. Quasi tutte invenzioni per la res bellica. Così come l’ultima, il byte, apparentemente la meno pericolosa, sicuramente la più ingannevole. È possibile sfiancare le infrastrutture del “nemico” colpendone criticamente i settori energia, trasporti e finanza. Ed è proprio il mondo finanziario, nello specifico quello bancario, che è recentemente diventato il teatro di una crime novel d’azione degna dei migliori film di spionaggio.

Sono almeno otto le banche dell’est Europa colpite da un attacco che ha sottratto una refurtiva da 10 milioni di euro attraverso il DarkVishnya, un preciso tipo di operazione criminale strutturata in diverse fasi.

Prima Fase: preparazione

Prima di tutto è necessario accedere fisicamente alla sede della banca, camuffandosi, come in un film di Hollywood, da tecnico, da addetto alle pulizie, o più semplicemente essendo un dipendente della target, per poi collegare un dispositivo fisico alla rete locale, o ad un nodo del gruppo, ed accedere al server. Il device è ovviamente occultabile e non può destare sospetti, si pensi a quante porte di connessione (USB o Ethernet) è possibile accedere in qualunque ufficio o sala meeting, sono proprio questi gli ingressi privilegiati sfruttati come exploit.

Tendenzialmente sono tre le differenti tipologie di apparecchiatura per perpetrare il furto: i cari notebook, un dispositivo ad hoc costruito su scheda Raspberry Pi, oppure la Bash Bunny, unità USB progettata appositamente per questi attacchi.

Seconda fase: attacco alla target

In questa fase si sfruttano le connessioni LTE, 3G e GPRS per connettersi da remoto e scansionare reti locali e server sotto attacco in modo da sottrarre le informazioni rilevanti: particolarmente si identificano i protocolli di pagamento. Nel frattempo gli hacker sperimentano l’efficacia delle difese della target tentando di aggirare le imposizioni dei firewall e cimentandosi in attacchi brute force sui sistemi e man-in-the-middle per loggarsi alle macchine.

L’ultima tappa è l’esecuzione di un codice scritto con MSFVenom per prendere il controllo dei terminali e procedere al trasferimento dei fondi.

La drammaticità della notizia non è rilevante solo per le banche coinvolte. L’impatto di tali operazioni è sicuramente molto più ampio. Queste tecniche, per quanto hollywoodiane, hanno il potenziale di funzionare dappertutto, in qualunque impresa vi siano dati sensibili da proteggere per cui potrebbe valere la pena un attacco. È dunque necessario attivare nuove procedure di difesa ed assicurarsi che tutti gli accessi alla rete siano in sicurezza.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...