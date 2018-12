Luca Colantuoni,

Gli esperti dei Kaspersky Lab hanno scoperto una serie di attacchi, denominati DarkVishnya, contro almeno otto banche dell’est Europa. La tecnica utilizzata è simile a quella vista nella popolare serie TV Mr. Robot. I cybercriminali sono entrati negli uffici e hanno collegato un dispositivo alla rete locale, riuscendo a causare danni per decine di milioni di dollari.

Ogni attacco prevede tre fasi distinte. Innanzitutto una persona accede all’edificio dell’istituto bancario, camuffandosi come corriere, candidato ad un posto di lavoro o rappresentante di un cliente. Il malintenzionato entra quindi in un ufficio o nelle meeting room e collega il dispositivo ad un porta USB o RJ-45. Il successo di questa fase è maggiore se la sede è di grandi dimensioni e ci sono prese con vari tipi di connettori sotto i tavoli. Il dispositivo in questione può essere un piccolo notebook economico, un Raspberry Pi o un Bash Bunny.

Il notebook viene collegato alla rete e alla presa di corrente. Il Raspberry Pi viene alimentato tramite la porta USB (anche quella di un computer o di una TV). Lo stesso vale per Bash Bunny, una piccola pen drive USB solitamente usata per i penetration test. Su tutti viene installato un tool per l’accesso remoto tramite modem GPRS/3G/LTE collegato al dispositivo.

La fase successiva prevede la scansione della rete locale per individuare possibili punti di ingresso, come cartelle pubbliche condivise o web server. L’obiettivo principale è trovare informazioni sui computer usati per i pagamenti e quindi tentare l’accesso tramite attacchi brute-force o sniffing. A questo punto i cybercriminali avviano l’esecuzione di servizi malevoli che possono eludere i sistemi di sicurezza.

La software house russa ha rilevato diversi attacchi tra il 2017 e il 2018. I nomi delle banche interessate non sono stati divulgati per ovvie ragioni. Kaspersky suggerisce di limitare l’accesso alla rete locale da luoghi accessibili agli estranei, disattivare le porte Ethernet pubbliche e metterle nel campo visivo delle telecamere di sicurezza.