Hacker invisibili, Kaspersky Lab scopre il segreto

Hacker invisibili, Kaspersky Lab scopre il segreto

ROMA – Come fanno gli hacker a far perdere le proprie tracce su internet ed essere invisibili? A spiegarlo sono gli informatici di Kaspersky Lab, che hanno analizzato il comportamento degli hacker e scoperto che dietro ai cybercriminali spesso si nascondono grandi organizzazioni, dei “super gruppi” specializzati in attacchi mirati come Turla, che riesce a nascondere gli IP dei suoi hacker, celando server di controllo e server fantasma.

Giancarlo Calzetta su Tom’s Hardware scrive che far perdere del tutto le proprie tracce non è certamente facile impresa. Ogni hacker per accedere ad una rete deve passare attraverso i server e l’indirizzo IP delle macchine infette è rilevabile. Esistono però due tipologie di connessioni internet, che viaggiano via satellite unidirezionale e bidirezionale. Proprio guardando a entrambe le connessioni, gli esperti di Kaspersky Lab hanno capito la strategia degli hacker:

“Ebbene, i dati che vengono inviati via satellite non possono essere diretti, per la natura stessa del sistema di trasmissione, a un singolo punto di ricezione, ma sono a disposizione di chiunque abbia una parabola in tutta l’area coperta dal trasmettitore in orbita. Gli hacker di Turla, quindi, sfruttano questo meccanismo per far perdere le loro tracce. I client installati sui computer che sono riusciti a infettare, infatti, inviano dati all’indirizzo IP di un computer collegato tramite connessione satellitare unidirezionale, ma anche a tutti quelli che sanno cosa cercare…

Nella zona coperta dalle emanazioni del satellite, una base di ricezione attende questi dati, inviati su porte che non sono usate dalla connessione “originale” e quindi vengono automaticamente scartati dal router dell’ignaro prestanome, mentre vengono decodificati e raccolti dai PC dei criminali. A questo punto, il server di comando e controllo ha l’IP della macchina infetta e può inviare tramite una connessione anonima il pacchetto di dati contenente le istruzioni da seguire, il tutto lasciando con un palmo di naso chi avesse intenzione di bloccare le operazioni degli hacker o, meglio, di identificarli per procedere a un arresto.

Questi sono solo alcuni dei provider usati per camuffare la connessione. Bisogna specificare che loro non possono fare nulla contro questa pratica, in quanto non dipende da falle nel loro sistema. Il livello di anonimità che è possibile mantenere grazie a questo sistema è davvero elevatissimo. Un satellite dedicato alle telecomunicazioni, infatti, è in grado di coprire aree che hanno un raggio di svariate migliaia di chilometri”.

Allora come trovare gli hacker? Gli informatici spiegano che conoscere l’indirizzo IP non aiuta, perché l’infezione potrebbe avere origine a migliaia di chilometri di distanza:

“Un satellite per le telecomunicazioni copre un’area enorme. Rintracciare la parabola “giusta” su un territorio così vasto è molto peggio che trovare un ago in un pagliaio. Inoltre, anche se si avesse un’idea un po’ più precisa di dove si potrebbe trovare la stazione ricevente, identificarla sarebbe lo stesso estremamente complicato. Dall’esterno, infatti, non si vedrebbe altro che una parabola identica a quelle che vengono usate per la TV satellitare.

Come ciliegina sulla torta, infine, il gruppo di Turla usa anche una ulteriore precauzione: nella maggior parte dei casi, i satelliti usati per le comunicazione coprono zone dell’Africa e del Medio Oriente, aree notoriamente povere di esperti di sicurezza informatica che possano andare a indagare “in loco”.

Ovviamente si tratta di pc spesso inefficienti e dove la connessione e le velocità di caricamento ed estrazioni dati sono decisamente basse, rendendo le operazioni degli hacker lunghe e noiose:

“Il premio per tanta pazienza, però, è la garanzia che nessuno può risalire alla posizione e identità degli attaccanti: un dettaglio di cruciale importanza per qualsiasi cybercriminale, ma ancor di più per quelli sponsorizzati dal Governo. Kaspersky Lab sostiene che ci siano almeno altri 3 gruppi oltre a Turla che usano al momento questo sistema per far perdere le proprie tracce e si aspetta che in futuro altri gruppi implementeranno questa soluzione perché poco costosa, ma estremamente efficace”.