Rootkit: cos'è e quali danni causa
Fra le numerose minacce informatiche, sempre più sofisticate e numerose, che incombono sulle organizzazioni, il rootkit è una delle più subdole anche a causa della sua scarsa notorietà.
La conoscenza e la consapevolezza rappresentano dunque il primo passo per l’adozione di misure di sicurezza necessarie per proteggere le risorse e i dati aziendali da questa e dalle altre insidie.
Le principali e più diffuse sono i malware che indicano un insieme di software malevoli che violano una rete sfruttandone le vulnerabilità. Una volta all'interno del sistema, il malware può bloccare l'accesso ai dati e ad altre risorse (ransomware), installare software dannosi (virus e worm), estrarre e trasmettere informazioni e dati (spyware).
Gli attacchi phishing, a loro volta molto diffusi, consistono nell'inviare comunicazioni fraudolente che sembrano provenire da una fonte affidabile, di solito via e-mail. L’obiettivo è rubare dati sensibili (carte di credito o informazioni di accesso), o installare un malware sul computer della vittima, sfruttando la disattenzione dell’utente che viene indotto a utilizzare un link pericoloso o aprire un allegato malevolo.
Negli attacchi man in the middle i cyber criminali si inseriscono in una transazione fra due parti, usando generalmente come punto di accesso reti wi-fi pubbliche non sicure. Una volta interrotto il traffico, gli hacker possono installare un software che abilita l’esfiltrazione dei dati della vittima.
Gli attacchi zero-day sfruttano una vulnerabilità presente nella rete appena scoperta, prima che sia possibile implementare e installare una patch.
A differenza delle minacce precedenti che mirano alla sottrazione di dati e al blocco delle risorse a fine di ricatto, un attacco denial-of-service (DoS) ha come obiettivo il blocco del sistema sotto attacco, mediante l’invio di un enorme flusso di traffico che punta a esaurire banda e risorse di calcolo.
Se l’attacco impiega una molteplicità di sistemi precedentemente compromessi si definisce distributed-denial-of-service (DDoS).
Il rootkit si colloca nella categoria più vasta dei trojan e si caratterizza per la sua capacità di insediarsi all’interno dei sistemi target per prenderne possesso, senza che le vittime se ne accorgano.
Rootkit: cos’è e cosa fa
Nonostante i rootkit siano in circolazione da circa 20 anni, sono generalmente poco noti e spesso sottovalutati.
Un rootkit è un tipo sofisticato di software malevolo progettato per infiltrarsi nel sistema operativo di un computer e ottenere privilegi di accesso elevati, spesso assumendo il controllo completo del sistema.
Questo tipo di malware è progettato per nascondersi dalle normali procedure di rilevamento e rimozione, rendendolo estremamente difficile da individuare e neutralizzare.
I rootkit possono essere utilizzati per scopi dannosi, come il furto di dati sensibili, il monitoraggio delle attività dell'utente o la creazione di backdoor per l'accesso non autorizzato al sistema. La loro presenza può compromettere gravemente la sicurezza e l'integrità del sistema informatico.
Per farlo utilizzano un kit, ossia un insieme di strumenti (sequenze macro o pezzi di software) che abilitano i permessi di root (ottenendo di fatto i privilegi dell’amministratore di sistema) della macchina target, senza che il proprietario ne sia consapevole.
I rootkit riescono a rimanere nascosti per molto tempo eludendo i sistemi di rilevamento della vittima, favoriti in ciò anche dalla scarsa notorietà di cui godono. Strumenti tradizionali come gli antivirus, ad esempio, non riescono a individuare la presenza di rootkit, rendendo questa minaccia ancora più subdola.
I rootkit, sulla base degli obiettivi dei cybercriminali, sono progettati per agire su diversi componenti dei sistemi:
- I rootkit in modalità kernel sono i più pericolosi, attaccando il nucleo del sistema operativo con l’obiettivo di accedere ai file presenti sul computer e di modificare le funzionalità del sistema operativo aggiungendo codice infetto.
- Alcuni rootkit agiscono sul bootloader, responsabile del caricamento del sistema operativo, sostituendolo con uno modificato, in grado di attivare il software malevolo prima che il sistema operativo del computer venga completamente caricato.
- I rootkit hardware o firmware installano direttamente il malware sul chip di memoria nella scheda madre del computer, consentendo ai cybercriminali di prendere possesso del sistema, arrivando anche a registrare le pressioni dei tasti ed effettuare il monitoraggio completo delle attività online della vittima. Sebbene questa modalità sia meno frequente delle altre, rappresenta una grave minaccia alla sicurezza.
- C’è inoltre un tipo di rootkit che infetta le applicazioni e ottiene l'accesso al computer ogni volta che vengono eseguite, mentre altri rootkit si inseriscono nella RAM del computer e ne utilizzano le risorse per svolgere attività dannose in background.
Questi ultimi sono percepiti come meno dannosi in quanto non iniettano codice permanente e scompaiono al riavvio del sistema. Tuttavia, influiscono sulle prestazioni della RAM, se pur temporaneamente.
I diversi tipi di rootkit rientrano nella categoria dei trojan horse che mutuano il nome dal noto cavallo di Troia usato dagli antichi greci per infiltrare alcune avanguardie dentro le mura di Troia per poi aprire le porte e conquistare la città.
Analogamente, il trojan è un programma dannoso utilizzato dagli hacker per introdursi in un computer o nella rete della vittima fingendo di essere un software legittimo e spingendo l’utente ad eseguirlo. A differenza del rootkit che ha come obiettivo di prendere il controllo del sistema per successive azioni malevole, il trojan punta soprattutto a sottrarre informazioni sensibili e di valore. La maggioranza dei trojan sono inoltre più facilmente rilevabili anche dagli antivirus.
La relazione tra Rootkit e ingegneria sociale
Molto spesso un attacco rootkit prende l’avvio da una qualche forma di ingegneria sociale che attacca l’anello debole del sistema di sicurezza aziendale, ossia la componente umana. Questa tecnica affonda le radici nello studio del comportamento delle persone con il fine di manipolarle, toccando leve psicologiche e comportamentali note.
A differenza di altre modalità tipiche del cybercrime, l’ingegneria sociale non sfrutta le vulnerabilità dei sistemi informatici, bensì la debolezza, la credulità e le paure degli esseri umani. L’obiettivo dei criminali è infatti convincere la vittima ad eseguire un codice dannoso per riuscire a insediare il rootkit (nel caso che stiamo trattando) per prendere possesso del sistema o, comunque, per rivelare informazioni riservate che agevolano l’attacco.
Poiché gli hacker malevoli sfruttano la componente umana, influenzando o ingannando deliberatamente le persone, la migliore prevenzione consiste nella conoscenza delle principali strategie di ingegneria sociale utilizzate e delle diverse forme in cui l’ingegneria sociale si presenta.
I canali impiegati sono molteplici, principalmente quelli quotidianamente utilizzati dalle persone dentro e fuori dall’azienda, come email, telefono, app di messaggistica istantanea (come Whatsapp o Telegram), siti web, social media. Vediamo più nel dettaglio i principali tipi di attacco che possono veicolare un attacco rootkit:
- La tecnica più diffusa è il phishing che viaggia con email, sms (smishing) o messaggistica istantanea, simulando un mittente conosciuto dalla vittima o un’organizzazione nota (una banca, un’istituzione pubblica, un marchio famoso). Il messaggio generalmente richiede di cliccare un link, di scaricare ed eseguire un contenuto, di fornire informazioni riservate;
- Il vishing segue le stesse modalità del phishing ma il contatto avviene attraverso il canale telefonico con una chiamata da un numero falsificato che appare, ad esempio, come quello di un help desk, di un centro di assistenza, di un partner. Nei casi più sofisticati viene utilizzata una tecnologia avanzata, come l’intelligenza artificiale, per imitare la voce di una persona nota alla vittima. Il cybercriminale manipola la vittima presentandosi, ad esempio, come un collega o come un operatore del servizio clienti o del supporto tecnico che deve installare un aggiornamento e gli chiede di reimpostare le proprie credenziali di accesso o di chiamare un determinato numero seguendo poi le istruzioni che verranno impartite;
- Gli hacker malevoli praticano anche ingegneria sociale online utilizzando falsi siti web, social media o forum per raccogliere informazioni personali e manipolare più facilmente le vittime;
- Con il pretexting, l’ingegnere sociale malevolo contatta la vittima telefonicamente simulando una situazione particolare, impersona un'altra persona e cerca di creare fiducia per ottenere informazioni utili per l’attacco;
- Il baiting sfrutta la curiosità della vittima lasciando incustodito un supporto di memorizzazione (chiavette USB, cd, hard disk) contenente il software malevolo mentre nel quid pro quo il social engineer offre un servizio o un aiuto in cambio di un benefit che abilita in qualche modo l’accesso ai sistemi della vittima;
- Nel tailgating, infine, il cybercriminale segue fisicamente un dipendente autorizzato per accedere a un’area riservata o chiede di entrare fingendo di aver dimenticato il badge di accesso.
Ethical hacker: chi sono e come proteggono le aziende dai rootkit
Il ruolo degli ethical hacker è fondamentale per individuare le minacce che i tradizionali sistemi di diagnosi, ad esempio antivirus e firewall, non sono in grado di individuare, come accade con i rootkit.
Gli ethical hacker, noti anche come white hat, sono esperti di sicurezza informatica e usano le loro competenze tecniche per proteggere le risorse aziendali, identificando le vulnerabilità nei sistemi informatici, nelle applicazioni e nelle reti.
I white hat lavorano per rivelare i punti deboli dei sistemi e delle infrastrutture digitali e valutare i rischi che questi comportano, contribuendo al superamento delle vulnerabilità e al conseguente rafforzamento della sicurezza.
Gli ethical hacker che si contrappongono agli hacker malevoli (detti anche black hat), che operano nell'ombra e sono responsabili delle attività dannose, in precedenza descritte, per ricavare denaro dalle loro attività criminali attraverso il ricatto e vendendo informazioni nel dark web.
I white hat collaborano invece con le organizzazioni e con il consenso dei proprietari dei sistemi. Tramite attività come penetration testing e analisi di vulnerabilità sui sistemi informatici e sulle reti rafforzano la sicurezza individuando i punti deboli e suggerendo miglioramenti.
Gli ethical hacker stanno dunque dalla parte dei “buoni” con l’obiettivo di anticipare le mosse dei cyber criminali, immedesimandosi nella loro mentalità per prevenire i danni.
Individuare i rootkit con DigitelNET
DigitelNET offre alle aziende un programma di sicurezza a 360° basato su soluzioni avanzate di cybersecurity, avvalendosi anche degli ethical hacker. I penetration test svolgono, ad esempio, un ruolo chiave per l’identificazione delle vulnerabilità informatiche aziendali mediante la simulazione di attacchi hacker, per porvi rimedio prima che un potenziale cyber aggressore le trovi e le sfrutti.
Più in generale, per la valutazione dei rischi che l’organizzazione corre e per mitigare le vulnerabilità riscontrate, gli esperti DigitelNET svolgono un vulnerability assessment, mentre l’attività di dark web monitoring consente di conoscere costantemente le potenziali minacce.
Per una difesa preventiva completa DigitelNET offre anche un servizio di email security contro gli attacchi via email che rappresentano i principali vettori dei malware e dei trojan, fra cui i rootkit.
Tutto ciò che devi sapere sul SOC
Scopri come il Security Operation Center rivoluziona la sicurezza dei dati aziendali