Quello che emerge dai dati che vengono alla luce in questi giorni è che l’attacco subito da Google non ha precedenti. Gli hacker avrebbero utilizzato tattiche avanzatissime che combinano crittografia e furto di programmi. Secondo gli esperti non si sarebbe mai visto, al di fuori dell’industria della difesa, compagnie commerciali sotto attacchi a questi livelli di sofisticazione.
Intanto, alcune delle altre trentatré aziende attaccate, su invito di Google, stanno venendo allo scoperto fornendo dettagli sugli attachi subiti: oltre ad Adobe, di cui già si sapeva, hanno dichiarato di essere stati attaccati anche e il provider Rackspace, Symantec e Juniper Networks. Secondo il Washington Post tra gli obiettivi ci sarebbero stati inoltre Dow Chemical e Northrop Grumman e, secondo voci non confermate, anche Yahoo.
La serie di attacchi è stata battezzata “Operation Aurora”, siccome il malware conteneva un collegamento a una cartella con questo nome sul computer di uno degli hacker. L’attacco iniziale sarebbe stato sferrato attraverso un link malevolo, probabilmente inviato ai dipendenti delle compagnie via email, via chat o attraverso Facebook o altri social network. Quando gli utenti hanno visitato il sito, Internet Explorer è stato forzato a scaricare sui loro computer una serie di malware.
La porzione di codice iniziale era uno shell code crittografato tre volte e ha attivato l’exploit. Poi ha eseguito un download da una macchina esterna che ha inserito nell’host il primo pezzo di codice binario. Il codice binario crittato si è poi compresso in un paio di file eseguibili che erano essi stessi crittati. Uno dei malware avrebbe aperto un backdoor remoto sul computer, stabilendo un covert channel che ha mascherato una connessione SSL per evitare la rilevazione. Ciò ha garantito agli hacker l’accesso ai computer e ha permesso loro di un “beachehead” in altre parti del network, per cercare le credenziali di accesso e altro materiale.
I server command-and-control utilizzati dagli hacker per travasare i dati sarebbero stati localizzati in Illinois, in Texas e a Taiwan. Non ci sono ancora notizie circa i server americani, tranne il fatto che il provider texano Rackspace ha ammesso nel suo blog la scorsa settimana di aver giocato a propria insaputa “una piccolissima parte” negli attacchi. Rackspace ha dichiarato che un server è stato compromesso e disabilitato e che l’azienda ha “assistito attivamente le indagini e ha cooperato pienamente con tutte le parti coinvolte” negli attacchi.
Gli attacchi sarebbero iniziati il 15 dicembre – ma non si esclude che possano essere anche precedenti – e sarebbero cessati il 4 gennaio, quando i server command-and -control uitilizzati per comunicare con il malware e il siphon data sono stati spenti.
