Il NISCC (National Infrastructure Security Co-ordination Center) non usa mezzi termini nel definire, per voce del proprio direttore Roger Cumming, “industriale” l’attacco che ignoti stanno apportando contro importanti infrastrutture informatiche inglesi. Quel che preoccupa è soprattutto la qualità dell’attacco, sempre più sofisticato e notevolmente evolutosi nell’arco di un breve lasso di tempo.
A rischio, secondo il NISCC, compagnie private ed enti governativi: tramite trojan ed altre tecniche combinate, alcuni malintenzionati starebbero depredando l’Inghilterra di dati utili a prendere il controllo di sistemi e reti (con una vasta gamma di scopi prevedibili, soprattutto dal punto di vista commerciale). Sophos quantifica in circa 300 gli enti sicuramente coinvolti nell’attacco. I trojan arrivano prevalentemente via mail e fanno spesso uso di tecniche di social engineering per stimolare l’utente all’apertura degli allegati o alla visita di particolari pagine web. Il NISCC sottolinea con forza il fatto che la presenza di un antivirus e l’aggiornamento dei sistemi sia un’operazione fondamentale, ma al tempo stesso è fondamentale una diffusa educazione alla sicurezza per coloro i quali lavorano su dispositivi informatici.
Gli attacchi risultano provenire dall’area asiatica, ma al momento non vengono diffuse ulteriori precisazioni in merito. Gli attacchi sarebbero mirati a colpire persone che ricoprono ruoli tali per cui sfruttando l’ambito privato sia possibile accedere a dati interessanti ai fini di un accesso a reti interessanti dal punto di vista economico. Una volta convinto l’utente all’apertura dell’allegato (tipicamente file .exe, .chm, .zip o .rar), il trojan si installa nella macchina sfruttando falle note e magari non risolte da patch. Aperta una backdoor nel sistema da remoto si procederà a download/upload di documenti ed al furto di dati utili ad ulteriori attacchi o ulteriori tentativi di installazione.
Il NISCC comunica inoltre come sia al lavoro assieme al U.S. Computer Emergency Readiness Team (US-CERT) per neutralizzare gli IP dai quali proviene la massiccia ondata offensiva diretta agli apparati inglesi. A tal fine il NISCC chiede collaborazione nella ricerca di tali IP tramite file di log, analisi del traffico e consultazione del mail server in uso. Interessante, ancora, l’iniziativa dell’organizzazione di distribuire veri e propri tutorial che, insegnando l’uso di dispositivi quali firewall e browser, suggeriscono le precauzioni indispensabili ai fini di una opportuna messa in sicurezza del proprio ambiente di lavoro online.