La società di sicurezza Symantec ha affermato che non è chiaro da dove abbiano avuto origine i cosiddetti attacchi Shady RAT e ha respinto le affermazioni che si tratta del più grande hack di sempre.
Questa settimana, la società rivale McAfee ha dichiarato di aver scoperto il "più grande furto di dati mai realizzato", che ha preso di mira 72 paesi e organizzazioni, tra cui le Nazioni Unite e il Comitato olimpico internazionale. Sebbene la società di sicurezza non abbia attribuito la colpa a nessun paese, ha affermato che probabilmente era sponsorizzata dallo stato.
Symantec ha affermato che l'attacco Shady RAT (strumento di accesso remoto) è stato "significativo", ma ha sostenuto che attacchi simili si verificano ogni giorno.
"Anche mentre parliamo, ci sono altri gruppi di malware che prendono di mira molte altre organizzazioni in modo simile per ottenere l'accesso e rubare segreti", ha affermato il ricercatore Hon Lau in un post sul Blog di Symantec.
A causa della varietà di organizzazioni e individui interessati, non vi è alcun motivo chiaro
Ha osservato che gli obiettivi andavano dalle società private alle agenzie governative. "Ciò che non è chiaro è il tipo di informazioni che gli aggressori stavano prendendo di mira", ha affermato. "A causa della varietà di organizzazioni e individui interessati, non vi è alcun motivo chiaro".
"Ci sono state alcune discussioni sul fatto che si tratti di un attacco sponsorizzato dal governo", ha detto Lau. “Tuttavia, il dito non può essere puntato contro nessun governo in particolare. Non solo le vittime si trovano in vari luoghi in tutto il mondo, ma lo sono anche i server coinvolti in questi attacchi".
Un quotidiano ufficiale cinese ha negato le accuse secondo cui il governo cinese era dietro gli attacchi. "Collegare la Cina agli attacchi di hacking su Internet è irresponsabile", ha affermato, secondo un rapporto di Reuters. "Il rapporto McAfee afferma che un 'attore statale' si è impegnato nell'hacking per un'operazione di spionaggio su Internet su larga scala, ma la sua analisi chiaramente non regge al controllo".
La Cina è spesso accusata di attacchi di hacking, e lo è stata in particolare accusato dell'intrusione negli account Gmail che alla fine hanno portato Google a lasciare il paese.
Dettagli dell'attacco
Symantec ha rivelato maggiori dettagli sull'attacco Shady RAT, affermando che le informazioni sugli obiettivi erano prontamente disponibili su comando degli hacker e sito di controllo, che l'azienda ha definito "una strana svista considerando che questo tipo di attacco è spesso descritto come 'avanzato' o ‘sofisticato’.”
Lau ha affermato che l'attacco è iniziato con un trucco di ingegneria sociale, inviando e-mail con file Excel dannosi allegati, ma etichettati in modo tale da sembrare innocui per il destinatario. Una volta aperto, rilascia un Trojan sulla macchina.
"Un possibile segno rivelatore di questo exploit è che Excel sembra bloccarsi per un breve periodo prima di riprendere e l'applicazione potrebbe persino arrestarsi in modo anomalo e riavviarsi", ha affermato Lau.
Il trojan contatterà un sito remoto, dove i comandi sono nascosti in file immagine o HTML: un "stratagemma interessante" da parte degli aggressori per far passare i comandi oltre i firewall.
Il Trojan stabilisce quindi una connessione con gli aggressori e apre una shell remota sulla macchina compromessa, da cui gli hacker possono accedere e rubare dati.
