Gli attacchi Hacker più significativi della storia
8 Apr 2020 - Informatica, Software
Indice
Gli attacchi Hacker più significativi della storia : Morris Worm
Tra gli attacchi Hacker più significativi della storia questo vince a mani basse per essere uno dei primi e per gli ingenti danni fatti nonostante le buone intenzioni!
Il Morris Worm, tradotto “il Verme di Morris”, è stato uno dei primi worm distribuiti via Internet.
Accadde il 2 Novembre 1988 e venne lanciato da un laboratorio dell’ MIT (Massachusetts Institute of Technology).
Era un tipo di malware (abbreviazione di malicious software – software malintenzionato) definito Worm, cioè “Verme“, sostanzialmente un tipo di virus in grado di autoreplicarsi.
Infettato un computer cerca di replicarsi e infettare altre macchine in rete.
E’ proprio ciò che accadde nel Novembre del 1988 per mano di uno studente che resterà alla storia come il primo informatico ad aver lanciato un worm : Robert Tappan Morris.
Per amore della verità l’attacco non fu intezionale e non fu scritto con lo scopo di creare danni ma per valutare le dimensioni di Internet.
Sfruttava vulnerabilità di Unix SendMail (un server Mail) e Finger, un protocollo Unix per lo scambio di informazioni. Un demone che ha il compito di mostrare le informazioni aggiuntive di un account come il nome completo, il recapito telefonico, il numero dell’ufficio e dell’edificio.
Per un errore di programmazione il worm si autoinstallava anche più volte sulla stessa macchina nonostate il controllo se vi fosse già una copia in esecuzione dava esito positivo.
Si calcola che siano state infettate circe 6000 macchine unix per un complessivo danno economico che andava dai 100.000 ai 10.000.000 di dollari.
Di seguito il Floppy contenente il codice originale del Morris Worm conservato nel Boston Museum of Science.
Dal passato ad oggi : Wanna Cry
Abbiamo citato poco fa uno dei primi della storia perchè non citare adesso uno degli ultimi?
Nel 12 Maggio 2017 WannaCry, noto anche come WanaCrypt0r 2.0, procura ingenti danni a sistemi informatici di numerose aziende in tutto il mondo quali FedEx, Università degli studi di Milano-Bicocca, Deutsche Bahn, Portugal Telecom, Ministero dell’interno russo.
E’ un worm ransomware, una specie di worm che una volta infettato la macchina limita l’accesso alla stessa e l’attaccante richiede appunto un ransome, un “riscatto“, per rimuovere la limitazione.
Al 28 Maggio i computer infetti sono olre 230.000.
WannaCry sfrutta una vulerabilità SMB, un protocollo Microsoft per la condivisione di File e Stampanti, tramite un exploit chiamato EternalBlue che si ritiene sviluppato dalla National Security Agency.
Questa “tecnica” rubata da un gruppo di hacker e messo in rete il 14 aprile 2017.
Diffuso tramite finte email e una volta installato in un computer infetta anche altri sistemi presenti sulla rete.
Appena infettato il computer WannaCry cripta i file bloccandone l’accesso, aggiunge l’estensione .WCRY e impedisce il riavvio del sistema.
In un file chiamato @Please_Read_Me@ è presente una richiesta di riscatto da pagare in bitcoin.
EternalBlue sfruttava una vulnerabilità di Windows corretta con una patch chiamata “Security Update for Microsoft Windows SMB Server (4013389)“.
Rilasciata il 14 marzo 2017 ma evidentemente molti sistemi non erano ancora aggiornati.
Altro esempio significativo di un ransomeware è Petya, partito dall’Ucraina sfrutta lo stesso exploit EternalBlue.
Quando si parla di Guerra Infromatica : Stuxnet
Creato e diffuso dal Governo del Stati Uniti nel 2006 in collaborazione col Goverso Israeliano.
L’obbiettivo era il sabotaggio della centrale nucleare iraniana di Natanz.
In particolare era progettato per disabilitare le centrifughe della centrale e attaccare le PLC cioè dei componenti hardware programmabili via software per l’automazione degli impianti della centrale.
Il contagio si pensa sia avvenuto dall’interno del sistema industriale all’esterno tramite una chiavetta USB infettata in mano ad un ignaro ingegnere iraniano.
Il worm infettava tutti i sistemi in rete ma si eseguiva solamente su coloro che erano dotati di sistemi SCADA modificando il codice del software Step7 incaricato di controllare i PLC della centrale.
Infatti il software ha infettato e fatto danni ad altre organizzazioni iraniane che gestivano la produzione di uranio arricchito.
Il fatto che il virus attaccava dei particolari impianti industriali fece sospettare che chi scrisse, o aiutò a scrivere, il programma fosse pienamente cosciente dell’architettura degli impianti della centrale iraniana.
Infatti Stuxnet danneggia solo i sistemi dotati di particolari requisiti. Uno di questi è il software Siemens Step7. Se i requisiti non sono soddisfatti il virus è stato progettato per disattivarsi.
Per non insospettire i tecnici il virus è capace di effettuare un attacco “man in the middle” usato per falsificare i dati forniti dai sensori industriali e facendo credere in un corretto funzionamento del sistema.
Si installava in un blocco di memoria della PLC e iniziava a modificare la frequenza di lavoro delle macchine influenzando di conseguenza la velocità di lavoro dei motori.
Inoltre era dotato di un rootkit che nascondeva il software malevolo e faceva credere agli operatori dei macchinari che questi lavorassero sempre alla frequenza corretta.
Siemens ha messo a disposizione uno strumento per rilevare e rimuovere degli Stuxnet.
GiustinoRomano.IT – I do IT with my Heart.
