Brutte, anzi bruttissime, notizie sul fronte della sicurezza online: il gruppo di hacker Platinum è di nuovo in azione e sta facendo girare un nuovo tipo di backdoor estremamente evoluta, chiamata Titanium. La notizia, e il nome Titanium, provengono dai ricercatori di Kaspersky Lab che per primi hanno individuato questa nuova pericolosissima minaccia.
La complessità di Titanium è degna della fama dei suoi creatori: questa backdoor è infatti in grado di nascondersi molto bene, fingendosi un software legittimo o addirittura un drive di sistema, usa una crittografia sofisticata e persino la steganografia (cioè la tecnica usata per nascondere messaggi dentro un'immagine).
In questo modo riesce a nascondersi agli occhi non solo degli utenti, ma anche dei software antivirus, potendo così agire in maniera del tutto indisturbata. Ciò vuol dire che gli hacker possono accedere ai dispositivi infettati senza che nessuno possa accorgersi di quanto sta avvenendo.
Come funziona la backdoor Titanium
"La minaccia Titanium ha uno schema di infiltrazione molto complesso - spiegano i ricercatori di Kaspersky - che passa da numerosi step e richiede una buona coordinazione tra tutti i passaggi. Inoltre, nessuno dei file usati può essere riconosciuto come pericoloso a causa delle tecnologie di crittografia usate e al fatto che si nasconde nella memoria".
Titanium utilizza diversi metodi per iniziare l'infezione dei suoi obiettivi e diffondersi da un computer all'altro. Il primo metodo è quello di sfruttare una intranet locale che è già stata compromessa con un malware. Un altro vettore è un archivio autoestraente SFX contenente un'attività di installazione di Windows. Un terzo è uno shellcode (cioè un programma scritto in linguaggio assembly, linguaggio di programmazione di basso livello) che viene iniettato nel processo winlogon.exe, anche se non è ancora chiaro come questo accada.
Qualunque sia il modo in cui Titanium riesce a entrare in un dispositivo, le sue potenzialità sono sempre le stesse. Titanium, infatti, può leggere qualsiasi file da un file system e inviarlo a un server controllato dagli hacker, può scaricare ed eseguire un file o eliminarne altri dal file system, eseguire operazioni dalla riga di comando e inviare i risultati al server di controllo e, infine, può anche aggiornare i suoi parametri di configurazione (tranne la chiave di crittografia AES). Detta in parole molto più semplici: se entra Titanium, può fare di tutto e di più ai nostri dati e al nostro computer.
Chi sono gli hacker Platinum
La backdoor Titanium, quindi, è estremamente sofisticata e potente. Non si tratta di un piccolo virus creato da un programmatore alle prime armi, ma di uno strumento molto pericoloso sviluppato da hacker esperti: il temutissimo gruppo Platinum. Si tratta di un collettivo di hacker specializzato in attacchi contro strutture governative, che opera principalmente in Asia sudorientale.
Il nome Platinum gli è stato dato da Microsoft. Questo gruppo è considerato una APT (Advanced Persistent Threat, cioè una minaccia avanzata e persistente) già dal 2009 e, secondo Microsoft, opera molto probabilmente per conto di diversi servizi segreti. Platinum, infatti, punta spesso a rubare brevetti sensibili legati a interessi di un Governo, e i suoi obiettivi preferiti sono sempre specifiche organizzazioni governative, istituti di difesa, agenzie di intelligence, istituzioni diplomatiche e fornitori di telecomunicazioni nel sud e sud-est asiatico.
Questo gruppo di hacker usa spesso tattiche di spear phishing (tentativi di phishing rivolti a individui specifici) e si concentra su un numero limitato di campagne all'anno, per ridurre il rischio di essere scoperto.
Titanium: dobbiamo avere paura?
I ricercatori di Kaspersky precisano di aver rilevato la backdoor Titanium, ma che non ci sarebbe al momento nessuna campagna hacker in corso che la sfrutta. C'è l'arma, quindi, ma non c'è ancora chi è pronto a utilizzarla, o almeno così dovrebbe essere. Questo rassicura, ma molto relativamente: il basso profilo tenuto da Platinum durante gli attacchi è ben noto agli esperti di sicurezza e già in passato questo gruppo è riuscito ad operare nel silenzio più assoluto anche per anni interi, prima di essere scoperto.
Difficilmente l'utente comune avrà a che fare con un'infezione portata da Titanium, sia perché gli obiettivi di Platinum sono tutti di altissimo livello sia perché questo collettivo opera in una precisa area geografica, ben lontana dall'Europa. Titanium, al momento, è stato rilevato solo in Malesia, Indonesia e Vietnam. Tuttavia, l'allarme di Kaspersky non è affatto da sottovalutare perché, se è vero che Platinum potrebbe agire anche per conto di Governi nazionali, allora le sue attività sono pericolose per tutti.
13 novembre 2019