L’attività di hacking contro Yahoo sarebbe partita da una mail di spear phishing inviata all’inizio del 2014. Non è noto al momento quante furono le persone a cui era stata inviata la mail, e quante mail vennero inviate: è chiaro però che bastò un solo click sul link inviato per dare origine a un’intrusione che ha portato alla fine alla perdita di dati relativi a 500 milioni di account dei clienti (nel primo dei 2 data breach che hanno colpito il service provider negli ultimi 3 anni).
A rivelarlo è stata l’FBI: questa settimana, nel corso di una conferenza stampa, la vice ministra della giustizia USA Mary McCord ha accusato due 007 dei servizi segreti russi (Dmitry Dokuchaev e Igor Sushchin) e due hacker (Alexsey Belan e Karim Baratov), ingaggiati direttamente da Mosca, per l’attacco cyber contro Yahoo avvenuto nel 2014.
La “spy story” è veramente notevole. Tre degli accusati sono al momento irrintracciabili, mentre uno di loro, Karim Baratov, è già stato arrestato in Canada. Alexsey Belan, il secondo accusato, è l’hacker criminale più ricercato dall’FBI dal novembre 2013, quando era stato accusato dagli Usa per più intrusioni in aziende di ecommerce. Arrestato nel giugno 2013 su richiesta di Washington in un paese europeo, Belan è poi fuggito in Russia prima della sua estradizione. I 3 latitanti si troverebbero quindi tutti in Russia, e anche se gli Stati Uniti hanno già chiesto un mandato di cattura, è possibile che il governo russo preferisca non cooperare.
Per quanto riguarda infatti i 2 agenti segreti russi, le cose si complicano ulteriormente. Come riporta Federica Meta in “Attacco a Yahoo!, gli Usa incriminano 4 russi”, Dmitry Dokuchaev e Igor Sushchin lavoravano fino a dicembre alla divisione del Centro per la sicurezza delle informazioni dell’FSB – l’agenzia di intelligence succeduta al KGB -. Dokuchaev però è già stato arrestato lo scorso dicembre a Mosca per tradimento (con la motivazione di aver passato informazioni alla CIA), insieme al vicedirettore della divisione, Sergei Mikhailov e al responsabile del team di Cyber Incidents Investigations di Kaspersky Lab ed ex funzionario del ministero degli Interni Ruslan Stoyanov. L’operazione sarebbe stata in sostanza la risposta del Governo russo al ruolo giocato dall’FSB nei cyber attacchi avvenuti durante il periodo delle elezioni presidenziali americane.
Come avrebbe operato l’hacker Aleksey Belan durante l’attacco a Yahoo? Lo spiega Martyn Williams in “Inside the Russian hack of Yahoo: How they did it”. Una volta entrato nei sistemi di Yahoo, Belan sarebbe andato alla ricerca di 2 obiettivi, il database utenti e l’Account Management Tool utilizzato per gestire il database. Una volta ottenuto l’accesso, avrebbe installato una backdoor in un server Yahoo e avrebbe così creato una copia di backup del database utenti trasferendo tutti i dati (nomi, numeri di telefono, password, dettagli crittografici di ciascun account) sul proprio computer. Con questi dati gli hacker avrebbero avuto accesso alle mail di alcune persone, come richiesto dagli agenti del FSB. In particolare, sarebbero stati in grado di accedere sistematicamente a tutte le mail di circa 6.500 account presi di mira in modo molto mirato, persone come giornalisti russi, diplomatici americani che viaggiavano spesso in Russia, anche impiegati di aerolinee o altre figure non direttamente collegate alla politica.
Il tutto però avrebbe avuto inizio con una tecnica semplicissima, una mail di spear-phishing che nascondeva un malware in grado di aprire la strada agli attaccanti.
La risposta migliore a questo tipo di attacchi passa attraverso attività di Security Awareness da rivolgere a tutti i dipendenti dell’organizzazione, per educarli a riconoscere questa forma di attacco, come sarà spiegato durante il CYBERTECH PRACTICAL WORKSHOP, ADVANCED CYBERSECURITY & COMPLIANCE del 23 marzo 2017, nella Sessione “SECURITY AWARENESS: DALLA SIMULAZIONE DEL PHISHING ALL’EDUCATION DEGLI UTENTI”, a cura di Maurizio Ostinet, Security Awareness, Eurosel MoMa.
12.20 – 13.00 Laboratorio con dimostrazioni pratiche e interazione con i presenti a cura di Eurosel Moma
“Un corretto approccio nella gestione del Rischio Cyber deve prevedere una fase di protezione del fattore umano, dal momento che gli utenti finali, tutte le persone dell’azienda, costituiscono di fatto la vulnerabilità principale ed un target degli attacchi. Viene proposta e discussa con i partecipanti una soluzione di Security Awareness basata sulla combinazione integrata di processi di education delle persone, simulazione di attacchi di phishing e misurazione dei risultati”.
PER REGISTRARSI al Practical Workshop 2.
