La notizia è di qualche giorno fa. E se anche le implicazioni di qualsiasi operazione di contesto cyber sono piuttosto ondivaghe e interpretabili a piacimento secondo la bisogna, l’episodio che ha visto protagonisti gli hacker russi dell’azienda Positive Technologies sfata in parte la leggenda nera che avvolge i professionisti del settore provenienti dal Paese governato da Vladimir Putin.
Il software spia
Il gruppo di analisi dell’azienda russa, infatti, lavorando sui sistemi informatici di un proprio cliente che aveva subito un incidente informatico, ha fatto una scoperta inquietante e subito condivisa nella community di addetti alla cyber security: nell’interfaccia principale del server Microsoft Exchange [un server di posta elettronica per sistemi Windows] utilizzato dal cliente, è stato trovato un pericoloso intruso. Stiamo parlando di un keylogger, un software malevolo capace di registrare e trasmettere qualsiasi cosa venga digitata sulla tastiera del computer infettato. Nello specifico, questo Keylogger raccoglieva le credenziali di accesso ai sistemi aziendali e li immagazzinava in un file, che poi veniva trasmesso all’esterno.
Vittime di primo piano
Il team di Positive Technologies Expert Security Center ha a questo punto cominciato una serie di indagini, che hanno portato a scoprire una vasta operazione di cyber spionaggio che avrebbe colpito almeno 30 vittime, sempre sfruttando una vulnerabilità di Microsoft Exchange Server, chiamata ProxyShell. E non si tratta di vittime casuali. Si tratta per lo più di agenzie governative, banche, società di informatica e istituti di formazione localizzati tra Africa e Medio Oriente. Tra i Paesi più colpiti la stessa Russia, gli Emirati Arabi, il Kuwait, l’Oman, il Niger, l’Etiopia, le Mauritius, la Giordania e il Libano.
Il primo attacco identificato risale al 2021. Grazie alla vulnerabilità di cui sopra, gli hacker hanno incorporato il codice del keylogger nella pagina principale del server, inserendo anche un codice che gli permetteva di analizzare il risultato della loro azione illecita, indirizzando le credenziali rubate degli account aziendali in un file accessibile da internet. Il team russo ha subito avvertito le vittime della violazione.
Istruzioni e contromisure
In Italia, al momento, non si ha notizia di violazioni scoperte, ma qualora qualcuno usasse il server Microsoft Exchange e volesse togliersi il dubbio, ecco le istruzioni che stanno circolando attraverso canali Telegram specializzati:
Per verificare una potenziale compromissione, è possibile cercare il codice stealer nella pagina principale del proprio server Microsoft Exchange. Se il server è stato compromesso, si raccomanda di identificare le credenziali dell’account che sono state rubate e cancellare il file in cui queste informazioni sono state archiviate dagli hacker. Il percorso di questo file può essere rintracciato nel file logon.aspx. È altresì consigliato utilizzare la versione più recente di Microsoft Exchange Server, o installare gli aggiornamenti in sospeso.
Siamo tutti potenziali bersagli
La scoperta fatta dagli analisti di Positive Technologies – i quali hanno fatto sapere che continueranno a monitorare la situazione, fornendo aggiornamenti – mette in evidenza, caso mai ce ne fosse stato bisogno, l’importanza della sicurezza informatica. Non è più accettabile il pensiero dominante in Italia del “perché dovrebbe accadere a me”. Nel momento in cui si è provvisti di una connessione internet o si maneggia un oggetto smart, dobbiamo essere consapevoli di rappresentare un potenziale bersaglio per l’infinita schiera di malintenzionati che operano in rete.
Aggiornamento dei sistemi, utilizzo consapevole delle password, buon senso in generale: sono gli ingredienti base per la sopravvivenza in rete. A meno che non vogliate rendere il lavoro facile ai cyber criminali.
