I criminali informatici frequenti sono una minaccia, non c’è dubbio: dagli hacker in camera da letto ai team di ransomware, i criminali informatici stanno infliggendo numerosi danni. Tuttavia, gli strumenti utilizzati e la minaccia rappresentata dai criminali informatici diffusi impallidiscono rispetto agli strumenti utilizzati da team extra qualificati come i noti team di hacker e i team sponsorizzati dallo stato.
La verità è che questi strumenti possono rivelarsi quasi irraggiungibili da rilevare e da cui guardarsi. BVP47 ne è una prova vivente. In questo articolo, definiremo come questo malware altamente efficace sponsorizzato dallo stato sia circolato silenziosamente per anni, il modo in cui si maschera così abilmente e chiariremo cosa significa per la sicurezza informatica all’interno dell’azienda.
Storia di fondo dietro BVP47
È una storia lunga, adatta a un romanzo di spionaggio. All’inizio di questi 12 mesi, un gruppo di analisi della sicurezza informatica in lingua cinese noto come Pangu Lab ha rivelato un rapporto approfondito di 56 pagine che mascherava un pezzo di codice dannoso che il gruppo di analisi ha determinato di chiamare BVP47 (poiché BVP era la stringa più tipica all’interno del codice e 47 a condizione che l’algoritmo di crittografia utilizzi il valore numerico 0x47).
Il rapporto è in realtà approfondito con un’intensa razionalizzazione tecnica, insieme a un’analisi approfondita del codice malware. Rivela che Pangu Lab ha inizialmente scoperto il codice durante un’indagine del 2013 sullo stato della sicurezza dei laptop in una società che era quasi certamente una divisione delle autorità di lingua cinese, tuttavia non è stato detto perché il gruppo abbia aspettato fino ad ora per pubblicare il rapporto.
Come questione chiave, il rapporto collega BVP47 al “Gruppo di equazioni”, che a sua volta è stato collegato all’Unità per le operazioni di ingresso su misura presso la USA Nationwide Safety Company (NSA). Pangu Lab è arrivato a questa conclusione perché ha scoperto una chiave personale che avrebbe fatto scattare BVP47 all’interno di una serie di dati rivelati dal gruppo The Shadow Brokers (TSB). Il TSB ha attribuito quel file dump all’Equation Group, che ci porta di nuovo all’NSA. Semplicemente non riuscivi a inventarlo, ed è una storia che corrisponde a un film con immagini in movimento.
Come funziona BVP47 in applicazione?
Comunque sufficiente per quanto riguarda il fattore spia contro spia della storia. Cosa implica BVP47 per la sicurezza informatica? In sostanza, funziona davvero come una porta davvero intelligente e davvero ben nascosta nel sistema della comunità obiettivo, che consente all’incontro sociale che lo gestisce di realizzare l’ingresso non autorizzato alla conoscenza e di agire senza essere scoperto.
Il dispositivo ha alcuni suggerimenti molto sottili nella manica, contando in parte sullo sfruttamento di comportamenti che quasi tutti gli amministratori di sistema non cercherebbero, solo perché nessuno pensava che un dispositivo di know-how si sarebbe comportato in quel modo. Inizia il suo percorso contagioso organizzando un canale di comunicazione nascosto in un punto che nessuno penserebbe di guardare: i pacchetti TCP SYN.
In un capovolgimento molto insidioso, BVP47 ha il potenziale per ascoltare l’identica porta comunitaria utilizzata da diverse aziende, che è una cosa molto difficile da fare. In altre parole, può essere estremamente laborioso da rilevare perché è difficile distinguere tra un servizio normale che utilizza una porta e BVP47 che utilizza quella porta.
Il problema nel difendersi da questa linea d’assalto
In un’altra svolta, il dispositivo valuta periodicamente l’ambiente circostante durante il quale corre e cancella le sue tracce lungo il modo in cui, nascondendo i suoi processi personali e l’esercizio della comunità per assicurarsi che non rimangano tracce da cercare.
Inoltre, BVP47 utilizza una serie di strategie di crittografia in diversi livelli di crittografia per la comunicazione e l’esfiltrazione della conoscenza. È tipico degli strumenti di alto livello utilizzati da squadre di minaccia persistenti superiori, insieme alle squadre sponsorizzate dallo stato.
Nel complesso, si tratta di una condotta estremamente subdola che può eludere anche probabilmente le più astute difese della sicurezza informatica. In sostanza, la combinazione più efficace di firewall, sicurezza di minaccia superiore e simili può comunque non riuscire a fermare strumenti equivalenti a BVP47. Queste backdoor sono così altamente efficaci grazie alle risorse che gli attori statali intascati possono mettere a disposizione per crearle.
Come sempre, una buona applicazione è la tua scommessa più grande
Ciò non implica, infatti, che i gruppi di sicurezza informatica debbano semplicemente ritirarsi e chiudere. Esiste una sequenza di azioni che potrebbe rendere, per lo meno, più duraturo per un attore distribuire un dispositivo equivalente a BVP47. La consapevolezza e le azioni di rilevamento perseguono i prezzi, poiché un monitoraggio rigoroso dovrebbe catturare un intruso distante. Allo stesso modo, gli honeypot possono invogliare gli attaccanti verso un obiettivo innocente: il luogo in cui potrebbero rivelarsi efficacemente.
Tuttavia, esiste una strategia semplice, basata sui primi principi, che offre un’enorme quantità di sicurezza. Anche strumenti sottili equivalenti a BVP47 dipendono da un programma software senza patch per realizzare un punto d’appoggio. L’aggiornamento costante del sistema operativo e delle funzioni su cui fai affidamento è, di conseguenza, il tuo primo porto di nome.
L’atto di utilizzare una patch a livello personale non è probabilmente il passo più difficile da compiere, tuttavia, come tutti sappiamo, applicare rapidamente le patch ogni singola volta è una cosa con cui la maggior parte delle organizzazioni deve lottare.
E naturalmente, questo è esattamente ciò che minaccia gli attori, perché il gruppo dietro BVP47 dipende, mentre mentono e aspettano il suo obiettivo, che inevitabilmente sarebbe troppo dotato di risorse per rattoppare in modo persistente, mancando infine di una patch cruciale.
Cosa possono fare i gruppi sotto pressione? Patching automatico e in tempo reale è una soluzione perché elimina la necessità di applicare patch manualmente ed elimina i lunghi riavvii e i relativi tempi di inattività. Il posto in cui l’applicazione delle patch non è potenziale, la scansione delle vulnerabilità può essere utilizzata per mettere in evidenza probabilmente le patch più cruciali.
Non la primaria – e mai la finale
Storie approfondite equivalenti a questa sono essenziali per essere al nostro servizio di essere consapevoli delle minacce cruciali. Tuttavia, BVP47 è in gioco da anni e anni prima di questo rapporto pubblico e nel frattempo numerosi programmi sono stati attaccati, insieme a obiettivi di profilo eccessivo in tutto il mondo.
Non sappiamo quale numero di strumenti correlati ci sia sul mercato: tutto ciò che sappiamo tutti è cosa dobbiamo fare per mantenere una situazione persistentemente solida sicurezza informatica postura: monitorare, distrarre e rattoppare. Anche quando i gruppi non sono in grado di mitigare ogni minaccia, installeranno almeno una protezione efficiente, rendendo il più difficile possibile il funzionamento efficiente del malware.