Shady RAT: 72 realtà spiate da oltre cinque anni

I primi log che McAfee è riuscita a recuperare risalgono a metà del 2006, ottenuti potendo accedere ad uno specifico server di "Command & Control" degli intrusori. Si tratta di un volume sterminato di log che rivelano quanto ampio sia il bacino delle vittime di questa serie di attacchi. Come la società stessa precisa, le attività di intrusione potrebbero essere state avviate in periodi ben precedenti, ma è solo dal 2006 che si dispongono di dati certi che testimoniano le avvenute compromissioni dei sistemi di sicurezza delle vittime.

Compromissioni che, come spiega la società, seguono un cliché piuttosto standard: una email phishing contenente un exploit viene inviata ad un individuo con un adeguato livello di accesso a sistemi informativi della compagnia. L'exploit, quando viene aperto su un sistema non protetto, avvia il download di un malware che a sua volta apre una comunicazione backdoor con il webserver Command & Control. Il malware interpreta ed esegue le istruzioni codificate in commenti nascosti nel codice HTML di una pagina web appositamente costruita. A questo punto gli intrusori possono accedere alla macchina infetta, scalare i privilegi utenti e muoversi orizzontalmente all'interno dell'organizzazione per stabilire nuovi e persistenti punti di accesso mediante l'installazione del malware su altri sistemi. A seguito di queste "azioni preparatorie" ha luogo la vera e propria attività di spionaggio e la ricerca delle informazioni e dei dati che rappresentano l'obiettivo dell'intrusione.

A seguito dell'analisi dei log, McAfee ha identificato, come anticipato in apertura, ben 72 realtà compromesse in un arco temporale di almeno 5 anni. La società ha evitato di esplicitare il nome di gran parte delle vittime, descrivendole solamente in termini generici. Ciononostante l'esplicitazione di alcuni nomi è giustificata per sottolineare ulteriormente il concetto che chiunque può cadere preda di attacchi di questo tipo, a prescindere da chi sia. Nei log era presente un maggior numero di vittime, che tuttavia non è stato possibile identificare accuratamente per via della mancanza di informazioni sufficienti. Le vittime ricadono in 32 differenti categorie, riassunte nello schema:

La presenza nell'elenco delle vittime di Comitati Olimpici nazionali dell'area asiatica ed occidentale, così come del Comitato Olimpico internazionale e della World Anti-Doping Agency, tutte vittime di attacchi nei periodi precedenti e successivi ai Giochi Olimpici di Pechino 2008, fanno supporre a McAfee che dietro queste attività di infiltrazione vi sia l'oscura mano di uno stato ignoto, dato che non vi sono benefici commerciali diretti che possono scaturire dal possesso di queste informazioni. A rafforzare questa tesi vi sono altre vittime presenti nell'elenco, come enti no-profit, organizzazioni impegnate nella promozione della democrazia, think-tank statunitensi e via discorrendo. Gli attacchi portati alle Nazioni Unite e all'ASEAN (Associazione delle nazioni del Sud-Est Asiatico) fanno ancora supporre motivazioni slegate da meri fini economici.

Nel corso del 2006, anno a partire dal quale McAfee dispone dei primi log, sono state registrate otto intrusioni che hanno interessato un'acciaieria e una compagnia edile sudcoreane, un'agenzia governativa sudcoreana, un dipartimento dell' Energy Research Laboratory, un'azienda immobiliare USA, le organizzazioni del commercio di un Paese asiatico e di un Paese occidentale e il segretariato ASEAN.

Nel 2007 l'attività di intrusione ha colpito ben 29 vittime: tra queste vi sono quattro contrattisti della difesa USA, una compagnia tecnologica di proprietà del governo vietnamita, un'agenzia federale USA, diversi governi di stati USA e di altri Paesi, una compagnia che si occupa della sicurezza di reti informatiche e i comitati olimpici di due nazioni asiatiche e di una nazione occidentale.

Durante il 2008 si è saliti a 36 vittime, con le Nazioni Unite e la World Anti-Doping Agency, per arrivare a 38 vittime nel 2009. Nel 2010 il numero di intrusioni è sceso a 17, e ulteriormente a 9 nel 2011 grazie ad una più ampia disponibilità di contromisure specifiche alle intrusioni perpetrate da questo ignoto attore. Queste contromisure hanno però portato il perpetrante ad utilizzare una nuova serie di minacce e nuove infrastrutture di controllo, causando così la scomparsa delle attività dai log a disposizione di McAfee.

Il periodo di tempo più breve durante il quale una realtà è rimasta compromessa è risultato essere inferiore ad un mese. Sono in nove a condividere questo risultato: il CIO, l'azienda vietnamita di cui sopra, l'organizzazione del commercio di una nazione asiatica, un'agenzia governativa canadese, un contrattista della difesa USA, un contrattista del governo USA, il governo di uno Stato USA e di una nazione e una società di contabilità statunitense. Il breve periodo di compromissione potrebbe però non essere sintomo di una rapida reazione dei team di sicurezza di queste realtà, quanto più una attività di incursione rapida e volta a sottrarre informazioni e dati che non richiedono una compromissione persistente della vittima. La più estesa attività di intrusione e spionaggio è invece stata riscontrata per il comitato olimpico di un Paese asiatico, per la durata di ben 28 mesi e terminato a gennaio del 2010.