crxbclfwiaazix8

In un documento reso pubblico da Edward Snowden e pubblicato dalla rivista tedesca  Der Spiegel viene mostrato come l’agenzia statunitense di sicurezza NSA, responsabile del programma di spionaggio di massa denominato Prism condiviso con altre cinque Nazioni (five eyes: Gran Bretagna, Germania, Nuova Zelanda Canada, Australia), col quale segretamente catalogava e monitorava dati e metadati condivisi da normali persone attraverso la rete, faccia uso delle reti di computer infettati, le famigerate botnet, in base ad un programma denominato Defiantwarrior.

Sempre attraverso le rivelazioni di Snowden è emerso come l’NSA disponga di un sistema di computers denominato XKeyscore, in grado di ricercare e analizzare dati e metadati scambiati attraverso Internet alla velocità di 10 Giga al secondo.

I dati ritenuti interessanti dall’NSA venivano memorizzati e impiegati in analisi successive.

In un articolo dell’ agosto del 2013 il quotidiano tedesco Suddeutsche Zeitung ha rivelato che le operazioni Prism non avevano come scopo solo il monitoraggio, ma anche quello di compiere attacchi informatici a reti private. In particolare dalle rivelazioni emerge come i principali Service Provider attaccati fossero nella maggior parte europei, e che quelli scelti come obiettivo controllassero una porzione rilevante del traffico Internet.

Nella sua attività di contrasto alle attività criminali, incluse quelle perpetuate attraverso il web, l’FBI scopre e spesso chiude botnet di pc infettate da malware come il Coreflood: milioni di computers privati impiegati illegalmente per spiare o per lanciare attacchi informatici come il Distributed Denials of Service (DDoS). Di norma, quindi, le botnet sono utilizzate per compiere reati informatici.

Ma è solo grazie alle rivelazioni di Snowden se sappiamo oggi che l’NSA ha usato queste reti di pc per monitorare Internet. Questa procedura avviene con l’ingresso nella botnet attraverso il contagio di un pc della rete. In questo modo l’Agenzia è in grado di controllare, attraverso una serie di server sparsi per il mondo, le attività di diverse botnet composte da milioni di pc infettati.


Come funziona il furto di informazioni

Generalmente chi utilizza un malware lo fa per sottrarre informazioni alle sue vittime. Nel caso specifico i fratelli Occhionero, Giulio e Francesca Maria, attraverso EyePyramid, infettavano i pc obiettivo attraverso l’allegato ad una mail. La mail in questione proveniva da un indirizzo di posta elettronica assolutamente al di sopra di ogni sospetto, come quello di uno studio legale. Nella fattispecie l’allegato era una fattura in formato pdf.

Un singolo programma spyware può causare il caos in un PC.

Una volta individuati nel sistema di posta elettronica o nella memoria del pc tutti i documenti con un dato formato (ad es. doc. txt. pdf), il malware li spedisce ad uno o piu’ indirizzi di posta il cui destinatario è schermato, in allegato alle mail.

Dopo che lo si e’ inavvertitamente scaricato Eye Pramid può generare nuovi spyware da altri programmi installati nel pc infettato, diventando a tutti gli effetti la punta di un iceberg.

In ciascuno dei programmi ai quali si collega può modificare le chiavi di registro e altre impostazioni. A seconda del numero di malware che riesce a generare la stabilità e le prestazioni del PC ne rimangono compromesse. Ma non solo. Il malware modifica i codici dei programmi ai quali si collega rendendo difficile anche la sua identificazione attraverso un programma rilevatore di software di spionaggio (spyware).


Documenti sottratti

Le informazioni sottratte attraverso il malware possono andare dal codice sorgente di un determinato software a documenti legali o finanziari, passando per le informazioni personali riservate sui dipendenti e sui clienti o qualsiasi altra informazione che possa avere un qualche valore commerciale.

In genere queste informazioni sono contenute in file in formato testuale che puo’ essere un foglio elettronico, una bozza di documento, un report, un disegno, una presentazione o una foto.

Gli “spioni” che intendono sottrarle possono raccogliere i dati da trafugare seguendo diverse modalità. Esistono tipi di malware che raccolgono praticamente qualsiasi tipo di documento elettronico realizzato in uno dei seguenti formati: txt, csv, eml, vsd, doc, dxv, odt, docx, rtf, pdf, mdv, xld, wab, est, xps, iau.

Un altro tipo di approccio, di tipo manuale, raccoglie e analizza i dati sottratti dalle reti usate dall’obiettivo utilizzando tecnologie di controllo da remoto. Una volta infettati col malware i pc obiettivo la tecnologia consente infatti di copiare a distanza quei documenti ritenuti utili rinvenuti nel disco rigido del pc o eventualmente in altre memorie collegate, come server, cloud o hard disk esterni.(cm)

   

Advertisements