Questo è il testo della puntata del 24 febbraio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.
Lo streaming verrà pubblicato qui non appena verrà messo online.
[CLIP: audio dal trailer di “Fuori in 60 secondi” (2000)]
Hollywood come sempre esagera la realtà, ma è vero che gli attacchi informatici stanno diventando sempre più rapidi: secondo una ricerca appena pubblicata, nel 2024 la loro velocità è aumentata mediamente del 22% rispetto all’anno precedente. In un caso recentissimo, agli aggressori sono bastati 48 minuti per penetrare le difese informatiche di un’azienda del settore manifatturiero e cominciare a saccheggiarne i dati, per poi chiedere un riscatto per restituirli o non pubblicarli.
Questa è la storia di quell’attacco, spiegata in dettaglio, utile per capire come lavorano oggi i criminali informatici e come ci si può difendere concretamente riconoscendo i primi segnali di un’incursione informatica.
Benvenuti alla puntata del 24 febbraio 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Siamo a dicembre del 2024 e sono passate da poco le cinque del pomeriggio di un giorno lavorativo qualsiasi. Il gruppo di criminali informatici russofoni noto agli addetti ai lavori con il nome di Black Basta inizia il proprio attacco a un’azienda del settore manifatturiero. Una delle tante che in tutto il mondo vengono prese di mira ogni giorno.
Per prima cosa i criminali mandano a una quindicina di dipendenti dell’azienda un’ondata massiccia di mail di spam, che intasa le loro caselle di posta e produce un numero spropositato di notifiche che rendono impossibile lavorare: una scocciatura particolarmente irritante, visto che arriva alla fine di una giornata lavorativa. Ma non è questo l’attacco vero e proprio: è solo un diversivo scelto con attenzione.
Alle 17 e 26 minuti, alcuni dei dipendenti bersagliati dal flusso incessante di spam ricevono un messaggio Teams dall’helpdesk informatico di Onmicrosoft.com, che offre soccorso per arginare la pioggia di mail spazzatura. Due di questi dipendenti ricevono poi una chiamata via Teams che li invita ad aprire Quick Assistant (o Assistenza rapida nella versione italiana), lo strumento Microsoft di accesso remoto, e a dare all’assistenza informatica il controllo dei loro computer. Uno dei dipendenti accetta l’invito e attiva la gestione remota del computer, lasciandola aperta per una decina abbondante di minuti. Sono le 17 e 47: sono passati solo ventuno minuti dall’inizio dell’attacco e i ladri sono già sulla soglia dei sistemi informatici aziendali.
Infatti Onmicrosoft.com non è un dominio di Microsoft: appartiene ai criminali, che si stanno fingendo operatori dell’assistenza tecnica Microsoft. La tattica di usare un’ondata di spam come diversivo è particolarmente efficace, perché queste mail di spam in sé non contengono nulla di pericoloso e quindi i sistemi di sicurezza non le bloccano. Le vittime non hanno neanche bisogno di interagire con queste mail, come avviene invece negli attacchi tradizionali in cui l’aggressore deve convincere il bersaglio a cliccare su un link ostile presente nella mail. Lo scopo della valanga di messaggi spazzatura è semplicemente causare agitazione nella vittima e creare una giustificazione plausibile per la chiamata immediatamente successiva su Teams dei criminali che fingono di essere l’assistenza tecnica di Microsoft. E il fatto che il messaggio arrivi via Teams, invece che da una mail tradizionale, rende tutto ancora più plausibile.
Dal punto di vista della vittima, infatti, è semplicemente arrivata un’ondata di spam ed è giunta prontamente la chiamata Teams dell’assistenza tecnica Microsoft che si è offerta di risolvere il problema. Nulla di sospetto, anzi: alla vittima fa anche piacere sapere che l’assistenza clienti è veloce e pensa lei a tutto, soprattutto quando è ora di lasciare l’ufficio.
Dal punto di vista degli aggressori, invece, l’attacco è particolarmente efficace, perché non richiede di convincere la vittima a installare app di dubbia provenienza. Tutto il software necessario per avviare l’attacco è infatti già presente nei computer dell’azienda: basta convincere qualcuno, anche uno solo dei tanti dipendenti, a cederne momentaneamente il controllo.
È una trappola tecnica e psicologica perfetta. E infatti pochi minuti dopo che la vittima ha passato il controllo remoto del proprio computer ai criminali pensando di darlo invece al soccorso informatico Microsoft, gli aggressori iniziano la loro scorribanda.
Sono le 17 e 56: nei nove minuti trascorsi da quando hanno ottenuto il comando remoto del computer aziendale del dipendente caduto nella trappola, gli aggressori hanno collegato quel computer al loro server di comando e controllo,* e cosi la breccia temporanea aperta dall’incauto utente è ora un tunnel permanente.
* Lo hanno fatto aaprendo le porte 443 e 10443 tipicamente riservate per il traffico criptato TLS e usando un beacon di OneDrive che punta a un indirizzo IP controllato dagli aggressori.
Attraverso questo tunnel, gli aggressori non installano un programma ostile, come è facile immaginarsi che facciano, ma si limitano a depositare una versione appositamente modificata a loro favore di un componente software comune, in termini tecnici una libreria a collegamento dinamico o DLL*, mettendola in una cartella OneDrive usata per effettuare gli aggiornamenti del software dell’azienda presa di mira.
* Il nome del file in questo caso è winhttp.dll.
Per via del modo in cui funzionano Windows e le sue applicazioni,* quel componente software modificato verrà eseguito dalle applicazioni aziendali al posto della sua versione originale. Questa è una tecnica sofisticata, chiamata DLL sideloading.In altre parole, il sistema informatico dell’azienda è già infettato e pronto per essere devastato.
* Le applicazioni cercano le DLL di cui hanno bisogno prima di tutto nella propria cartella e poi altrove, e quindi gli aggressori piazzano la DLL ostile nella cartella che ospita un’applicazione vulnerabile, sapendo che verrà eseguita al posto della DLL originale situata altrove.
I criminali attivano l’infezione usando PowerShell, un altro strumento presente nei sistemi Windows, e il componente software modificato viene eseguito negli account degli amministratori di sistema, che sono abilitati ad accedere a molte più risorse di un account utente normale. Con questo potere, gli aggressori riescono a trovare delle credenziali* che permettono loro di creare un nuovo account con i massimi permessi di amministrazione.
* Sono quelle di un account di servizio usato per gestire un database SQL.
A questo punto i criminali hanno il controllo totale della rete informatica del bersaglio e possono fare sostanzialmente tutto quello che desiderano. Infatti usano addirittura il software di sicurezza dell’azienda [Network Scanner di Softperfect] per trovare altre vulnerabilità da sfruttare per esfiltrare i dati di lavoro, ossia portarsi via una copia integrale di tutte le informazioni che servono all’azienda per poter lavorare, allo scopo di rivendere quelle informazioni sul mercato nero dei dati rubati oppure di ricattare l’azienda stessa con la minaccia di pubblicarli, con tutti i problemi legali di privacy che questo comporterebbe, oppure ancora di cancellarli dai computer dell’azienda e fornirne una copia solo dietro lauto pagamento.
Sono le 18.35. In 48 minuti i criminali informatici sono passati dal trovarsi sulla soglia a essere onnipotenti. Nel giro di poco più di un giorno completeranno l’esfiltrazione dei dati aziendali e il saccheggio informatico sarà pronto per essere monetizzato. Nel caso specifico, l’azienda riuscirà a contenere il danno scollegando da Internet vari data center, ma questo comporterà blocchi della produzione ed enormi disagi nel flusso di lavoro.
Come si fa a evitare di trovarsi in queste situazioni? La formazione del personale, e di tutto il personale, ossia di chiunque metta mano a un computer, è ovviamente essenziale: tutti devono conoscere l’esistenza di queste tecniche di attacco e abituarsi a riconoscerne i sintomi e a non fidarsi delle chiamate Teams o di altro genere che sembrano provenire dall’assistenza informatica di Microsoft o di qualunque altro fornitore di servizi. Tutti devono rendersi conto che gli attacchi informatici non sono un problema che riguarda solo gli addetti ai servizi informatici. Serve anche un modo affidabile e pratico per verificare le identità degli interlocutori quando la conversazione non avviene in presenza: cose come parole d’ordine concordate, per fare un esempio.
Ma c’è anche una parte tecnica importante che va ripensata e gestita correttamente non dagli utenti ma da parte degli amministratori dei sistemi informatici e dei loro superiori. Le applicazioni di accesso remoto, come Assistenza rapida di Microsoft, andrebbero disinstallate ovunque sia possibile o perlomeno rese meno facilmente accessibili agli utenti, e gli account degli utenti che interagiscono con un tentativo di furto anche solo sospettato andrebbero bloccati e isolati immediatamente. Tutte cose che hanno un costo e comportano disagi e scomodità e quindi spesso non vengono fatte.
Trovate raccomandazioni tecniche molto dettagliate e motivate nei due rapporti sulla vicenda pubblicati dalla società di sicurezza informatica Reliaquest, quella che ha seguito e analizzato in profondità questo attacco [48 Minutes: How Fast Phishing Attacks Exploit Weaknesses; Racing the Clock: Outpacing Accelerating Attacks].
E la lezione più importante che ci offre questa vicenda è che gli intrusi stanno diventando sempre più veloci, grazie anche all’automazione dei loro attacchi consentita dall’intelligenza artificiale, che stanno usando a piene mani e senza scrupoli, e quindi i tempi di reazione devono adeguarsi e gli interventi di protezione devono essere il più possibile automatici e drastici. L’idea ancora molto diffusa di avere un servizio di supporto informatico solo in orari d’ufficio, per contenere i costi, non è soltanto obsoleta: è di fatto pericolosa. Perché i criminali informatici non rispettano gli orari di lavoro o le ferie.
C’è un epilogo positivo a questa vicenda: Black Basta, il gruppo criminale al quale è stato attribuito l’attacco che ho descritto qui, è in crisi. Le sue chat interne sono state infatti trafugate e pubblicate online, permettendo a studiosi e ricercatori di sicurezza di analizzare tattiche, segreti professionali e liti fra i suoi membri, disseminati su oltre 200.000 messaggi [Ars Technica]. Uno dei suoi leader è stato arrestato, e questo aumenta le possibilità che vengano rintracciati anche gli altri componenti. E un altro dei capi di Black Basta ha commesso l’errore strategico di attaccare le infrastrutture di alcune banche russe, col risultato di attirare sulla banda le attenzioni decisamente indesiderate delle autorità di polizia del paese.
Alla fine, i peggiori nemici dei criminali sono i criminali stessi.
Fonte aggiuntiva
Notorious crooks broke into a company network in 48 minutes. Here’s how. Ars Technica (2025).