Sono almeno otto, nell’Europa dell’Est, le banche vittime di DarkVishnya, una serie di attacchi che secondo le stime ha provocato danni per decine di milioni di euro. Lo racconta il blog di Kaspersky, dipingendo uno scenario che sembra davvero la sceneggiatura di un film.

“Ogni attacco si può dividere in diverse fasi. Nella prima, un criminale entra nell’edificio nei panni di un corriere, un aspirante per un posto di lavoro, etc. Collega un dispositivo alla rete locale, per esempio in una sala riunioni. Se possibile, l’oggetto viene nascosto per evitare di sollevare sospetti”.

Questi oggetti sono piccoli computer basati su Rasperrby Pi, ma ci sono stati casi in cui presso le sedi delle banche sono stati abbandonati dei computer portatili; si potrebbe pensare che sia difficile far passare inosservato un computer abbandonato in una stanza, ma evidentemente non è così. Sono stati usati anche i Bash Bunny, dispositivi che usano la connessione USB e hanno l’aspetto di un comune pendrive – costano circa cento dollari l’uno. Una volta collegato alla rete, il dispositivo si può controllare a distanza grazie al modem integrato.

Nella seconda fase i criminali si collegano alla rete e cercano prima di tutto cartelle pubbliche e server di pubblico accesso. L’obiettivo in questo momento è raccogliere informazioni, in particolare riguardo le reti e le macchine usate per gestire le transazioni. Contestualmente si tentano degli attacchi brute-force sui sistemi protetti, e attacchi man-in-the-middle per sottrarre dati di accesso. È possibile variare il payload secondo le condizioni specifiche di ogni rete.

I connettori di un tavolo in sala riunioni, secondo Kaspersky uno dei veicoli usati da DarkVishnya

Una volta ottenuto un accesso stabile viene avviato l’attacco vero e proprio, che siccome è di tipo fileless risulta molto difficile da individuare. E nei sistemi meglio protetti, “i cibercriminali hanno usato impacket, winexesvc.exe o psexec.exe per lanciare file eseguibili in remoto”. L’ultimo passaggio è praticamente una formalità, e consiste nel trasferire denaro tramite normali transazioni come i bonifici, o di prendere contante dai bancomat.

La notizia è drammatica per le banche coinvolte, ma ha anche un impatto più generale. Le tecniche usate, per quanto “da film”, sembrano infatti avere il potenziale per funzionare più o meno dovunque. In molti grandi (e piccoli) edifici aziendali, infatti, non è difficile trovare una porta di rete non troppo in vista, o una porta USB nascosta ma con accesso alla rete locale.

La postazione multimediale della sala riunioni, per esempio, è un buon candidato. Ma volendo si potrebbe rischiare anche con il computer del consulente in banca: spesso e volentieri le porte USB posteriori sono a portata di mano, e ci sono buone possibilità che nessuno si accorga di un Bash Bunny o simili – almeno fino a che non cominciano a mancare soldi.

Deve quindi scattare un nuovo campanello di allarme presso banche, aziende ed enti pubblici; è necessario assicurarsi che tutte le possibili vie di accesso alla rete siano messe in sicurezza, onde prevenire accessi non autorizzati come quelli descritti. Più facile a dirsi che a farsi.