Cyber attacchi via Linkedin, ecco come funzionano: l'esempio di Inception - Cyber Security 360

Il caso

Cyber attacchi via Linkedin, ecco come funzionano: l’esempio di Inception

Il malware Inception.dll tra settembre e dicembre 2019 ha veicolato numerosi attacchi architettati sfruttando la piattaforma social Linkedin: approfondiamo in che modo questo avviene e quali sono gli obiettivi di tali incursioni, per capire come evitare rischi

26 Ago 2020
R
Stefano Ricci

Business Data Analyst | Cyber Security Consultant

La piattaforma social Linkedin può essere sfruttata da malintenzionati per veicolare attacchi alle aziende. Un caso è dato da Inception.dll: i laboratori di ricerca di Eset, azienda produttrice di software antivirus, hanno reso pubblico di aver individuato un malware finalizzato al compimento di intrusioni informatiche proprio a partire dalla rete LinkedIn. L’operazione “In(ter)ception”, com’è stata battezzata proprio da Eset, ha individuato una lunga serie di cyber attacchi compiuti fra i mesi di settembre e dicembre 2019, finalizzati da un lato alla sottrazione di dati sensibili e dall’altro al puro guadagno economico.

L’attacco del malware Inception

Tutto ha origine dalla ricezione di uno specifico messaggio di posta su LinkedIn contenente un’offerta di lavoro ben congeniata e proveniente da note società multinazionali attive in specifici settori d’assoluto rilievo pubblico, come il comparto delle telecomunicazioni o dell’energia rinnovabile. Inutile sottolineare in questa sede quanto l’offerta di lavoro fosse in realtà falsa, così come falso era il profilo aziendale collegato all’offerta stessa. Non solo: come sottolinea Dominik Breitenbacher, a capo dell’indagine condotta nei laboratori Eset, il messaggio di posta ricevuto attraverso lo spazio LinkedIn conteneva file allegati dannosi collegati alla piattaforma OneDrive, dove – attraverso false e-mail – erano stati aperti spazi di cloud storage associati ai falsi profili aziendali aperti su LinkedIn. L’allegato dannoso consisteva in un documento in formato PDF dov’era riassunta la posizione lavorativa ricercata; all’apertura del file veniva tuttavia installato sul PC della vittima proprio il malware in questione, garantendo così agli aggressori la piena connettività con il dispositivo colpito.

Quali, dunque, le finalità di simili incursioni? Dominik Breitenbacher ritiene gli attacchi avessero tutti i segni dello spionaggio, con diversi indizi che suggeriscono un eventuale collegamento con il gruppo Lazarus. Spiega però che  né l’analisi del malware né l’indagine hanno permesso di ottenere informazioni sui file a cui gli aggressori miravano. Il Gruppo Lazarus abbia già avuto modo di presentarsi alle cronache internazionali come uno dei collettivi hacker più prolifici in circolazione, con decine di attacchi attribuiti divenuti ormai celebri, come il caso WannaCry e il Sony Breach. Eppure, non c’è solo l’ombra dello spionaggio dietro Inception, ma anche il puro business e-mail compromise attack, veri e propri attacchi informatici finalizzati alla sottrazione di denaro ai danni delle vittime.

I ricercatori Eset hanno individuato diverse comunicazioni e-mail aziendali in cui, a un cliente, era sollecitato il pagamento di una fattura non ancora saldata; gli hacker, pertanto, sfruttando proprio questa serie di comunicazioni, hanno sostituito le coordinate bancarie dell’azienda riscuotitrice con le proprie, sollecitando nuovamente il cliente al pagamento. Secondo Eset, il tentativo di monetizzare l’accesso alla rete delle vittime dovrebbe servire da incentivo per stabilire forti difese contro le intrusioni e fornire formazione sulla sicurezza informatica per i dipendenti. Una strategia che permetterebbe di riconoscere tecniche di ingegneria sociale ancora meno conosciute, come quelle utilizzate nell’operazione In(ter)ception.

Lo sfruttamento di Linkedin

Non è la prima volta che LinkedIn viene sfruttato per individuare potenziali bersagli da colpire attraverso differenti tipologie d’attacco informatico. La stessa rete sociale di casa Microsoft sembra prestarsi bene a questo nuovo modo di condurre le operazioni d’ingegneria sociale attraverso due funzioni principali.
La prima è relativa alla possibilità, da parte di un utente LinkedIn, di visualizzare i dipendenti di una data azienda presenti sulla rete sociale: in questo modo, un ipotetico hacker avrà già pronta una specifica selezione di potenziali bersagli contro cui operare. Nel dettaglio: si vuol colpire il database clienti di un e-commerce? Basterà individuare un operatore commerciale dell’e-commerce stesso, “impersonare” un suo superiore e inviare a quest’ultimo una e-mail credibile con un allegato malevolo: l’addetto sarà portato ad aprire il contenuto dell’allegato, in quanto ritenuto proveniente da una fonte certa.

La seconda funzione, invece, è legata al modo in cui LinkedIn mostra agli utenti tutte le connessioni che questi intrecciano fra di loro: facile, in questa circostanza, scoprire i fornitori di una specifica azienda e pianificare un attacco credibile quanto efficace. In molti, poi, sottolineano come le stesse offerte di lavoro pubblicate dalle diverse aziende possano fornire utili informazioni a malintenzionati e “curiosi”: in questo modo, è di certo possibile intuire quali obiettivi l’azienda bersaglio intende raggiungere e attraverso quali tecnologie. Lo stesso può dirsi per la ricerca di personale specializzato per la gestione di progetti avanzati: in questo caso, è il bersaglio stesso a suggerire dove colpire.

Il precedente

Già nel 2012, LinkedIn fu vittima di un attacco informatico e, all’epoca, furono oltre cento milioni le credenziali sottratte agli utenti, ancora oggi attive. Ebbene, arrivati a questo punto bisogna fare un’ultima considerazione: non sempre, il possesso di credenziali complete (indirizzo e-mail e password) costituisce l’obiettivo primario per i criminali informatici. Secondo quanto affermato da Tod Beardsley, capo della sicurezza di Rapid7, il “prodotto” più ambito dagli hacker è rappresentato dall’enorme mole di indirizzi e-mail collegati ai vari profili-utente dei professionisti attivi sulla rete sociale. Gli spammer, ad esempio, hanno necessità di impiegare profili e-mail non solo attivi, ma credibili: in più, mentre le password possono essere cambiate nel corso del tempo, lo stesso non può dirsi per gli indirizzi e-mail, costituendo così un ottimo investimento per i cyber-criminali.

New call-to-action

@RIPRODUZIONE RISERVATA

Articolo 1 di 5