Quella della backdoor SmokedHam va oltre la semplice notizia perché offre uno spaccato definitivo di come i criminal hacker riescono a prendersi gioco degli amministratori IT, professionisti dai quali ci si attende elevata consapevolezza e, a cascata, obbliga le organizzazioni a interrogarsi sui pericoli a cui sono esposti i dipendenti non tecnici.
Infatti, se gli amministratori IT cadono nei tranelli, diventa persino anacronistico parlare di dipendenti indisciplinati.
Il gruppo UNC2465 – al quale può essere ricondotto SmokedHam – cristallizza l’importanza della formazione continua e certifica che, da sola, non può bastare.
Non di meno, evidenzia che la guerra tra cyber attaccanti e difesa non è solo tecnologica ma è anche comportamentale.
Approfondiamo l’argomento insieme a Domenico Campeglia, docente di Digital Forensics e fondatore della piattaforma di formazione online CyberAware.
Indice degli argomenti
Cosa è SmokedHam
SmokedHam, identificato dai ricercatori anche con i nomi di Parcel RAT, SharpRhino o WorkersDevBackdoor, è un impianto malevolo di tipo backdoor basato su linguaggi C# e PowerShell che funge da strumento primario per il cluster di minacce UNC2465.
Sviluppato come una versione modificata e alleggerita del progetto Open source ThunderShell, è ottimizzato per operare mediante l’infrastruttura Cloudflare Workers che rende complicato distinguere il traffico di comando e controllo (C2) da quello delle normali attività cloud aziendali.
La catena di infezione viene innescata da campagne di malvertising su motori di ricerca che inducono amministratori di sistema a prelevare installer contraffatti di utility legittime, come RVTools, PuTTY o Remote Desktop Manager, i quali avviano silenziosamente un interprete Python che esegue script PowerShell offuscati nella memoria del sistema per caricare l’impianto finale in modalità fileless.
Una volta stabilita la presenza nel sistema target, SmokedHam permette ai cyber criminali di condurre ricognizioni approfondite ed esfiltrare dati sensibili prima di procedere con la fase finale dell’attacco che, di norma, culmina nella cifratura di server ESXi tramite il ransomware Qilin.
Infine, il malware mostra una profonda adattabilità operativa, manifestandosi in diverse varianti che spaziano da versioni minimaliste ingegnerizzate per l’accesso iniziale ai sistemi, fino a framework post-exploitation più completi e capaci di caricare dinamicamente moduli aggiuntivi in memoria, evidenziando una strategia di sviluppo iterativa che migliora per evadere dalle sandbox e dai sistemi di rilevamento Endpoint Detection and Response (EDR).
Il ruolo centrale del malvertising
Il vettore principale è il malvertising. Il gruppo UNC2465 acquista spazi pubblicitari sui motori di ricerca intercettando le query relative ai tool IT quali, appunto, PuTTY, Remote Desktop di Microsoft, RVTools o Zoho Assist.
Gli annunci malevoli compaiono sopra i risultati organici della ricerca, inducendo l’utente a considerare che quello restituito sia il link ufficiale dal quale prelevare il tool.
Una miscela di ingegneria sociale e manipolazione che trae in inganno anche gli amministratori IT. E ciò è parte integrante delle capacità degli attaccanti.
Cliccando sull’annuncio gli amministratori raggiungono siti clone – il classico typosquatting – i cui nomi di dominio appaiono visivamente identici a quelli originali.
Non di meno, gli attaccanti possono filtrare i visitatori in base alla loro provenienza geografica, mostrando il contenuto malevolo solo a bersagli specifici.
Il ruolo inconsapevole degli amministratori
Più che puntare il dito contro la mancanza di competenze, è opportuno parlare di una sorta di professionalizzazione dell’inganno, disciplina nella quale i criminal hacker si stanno perfezionando.
La frequenza con cui usano questi tool spinge gli amministratori IT a muoversi in modo quasi automatico quando, per esempio, devono istallarli su nuove macchine da configurare.
Gli amministratori IT prelevano questi file perché gli attaccanti hanno costruito un percorso capace di imitare flussi di lavoro legittimi, trasformando strumenti di gestione quotidiana in chiavistelli che aprono le porte ad attacchi futuri.
E questo è un punto nevralgico, un nervo scoperto che porta a qualche riflessione, partendo dal fatto che i cyber criminali riescono ad annichilire la consapevolezza degli amministratori.
Come illustra Domenico Campeglia: “Bisogna essere molto chiari: non è più una questione di competenza individuale.
Il paradigma è cambiato. Gli attaccanti non cercano più di ‘ingannarti’ con tecniche grossolane, ma manipolano l’ambiente in cui prendi decisioni. In questo caso non stai cliccando su un allegato sospetto: stai cercando un tool noto, trovi un link sponsorizzato, con grafica identica a quella ufficiale, magari anche con certificati validi e infrastrutture cloud affidabili come AWS o Cloudflare”.
Quello dei certificati validi è un argomento sul quale torneremo più avanti, perché scottante.
“A quel punto – continua Domenico Campeglia – non è più un errore umano classico. È un attacco alla fiducia.
Quindi sì, è normale, e direi inevitabile, che anche professionisti preparati possano cadere. E questo ci dice una cosa fondamentale: non possiamo più basare la sicurezza sull’idea che ‘le persone devono stare attente’.
Se un amministratore IT può essere ingannato in un contesto così sofisticato, allora è irrealistico aspettarsi che un dipendente medio riesca a fare meglio. Non è una questione di formazione insufficiente, è una questione di asimmetria: gli attaccanti progettano ambienti perfetti per l’errore”.
La formazione continua come framework
Un altro punto di rilievo è il ruolo della formazione continua che deve evolvere. “La ‘formazione continua’ generica, quella uguale per tutti, fatta di buone pratiche standard, oggi non basta più.
È come insegnare a tutti a guidare allo stesso modo, ignorando se qualcuno guida un’auto, un camion o un’ambulanza.
Serve un cambio di mentalità: passare a una formazione multilivello, contestuale, quasi ‘operativa’.
Un amministratore IT, per esempio, deve essere formato su scenari molto specifici come questo: download di tool, verifica delle fonti, uso di repository ufficiali, controllo delle firme digitali. Non basta dirgli di fare attenzione al phishing.
Un utente amministrativo, invece, deve essere allenato su dinamiche completamente diverse: email, richieste urgenti, gestione documentale.
E soprattutto, la formazione deve essere integrata con i controlli tecnici. Perché questo attacco dimostra chiaramente che l’utente, da solo, non può reggere il peso della difesa.
In altre parole, la vera evoluzione non è formare di più, ma formare meglio e in modo diverso. La formazione deve diventare una componente di un sistema più ampio, dove tecnologia, processi e consapevolezza lavorano insieme.
Se dovessi sintetizzarlo: oggi non dobbiamo più chiederci se le persone sbagliano, ma progettare sistemi in cui anche quando sbagliano… l’attacco non funziona”, conclude l’esperto.
Quindi, sebbene gli esperti “dovrebbero sapere”, la sofisticazione di UNC2465 trasforma un compito di routine – il prelievo di un tool dal web – in un rischio elevato.
Proprio perché la cautela umana può fallire, è opportuno che la formazione continua e diversificata sia affiancata da contromisure tecniche come, per esempio, il blocco degli annunci a livello di DNS e la verifica obbligatoria dell’hash degli installer prima della loro esecuzione.
Molti degli installer malevoli sono firmati con certificati digitali legittimi, spesso revocati, emessi a nome di piccole o medie imprese, non di rado dell’Est del mondo.
Questo serve a eludere i controlli di sicurezza del sistema operativo e a proiettare un’ulteriore immagine di affidabilità.
È utile quindi introdurre il monitoraggio delle connessioni verso domini non censiti e rilevare l’uso anomalo di binari Python che lanciano processi PowerShell.
