L'Industria Italiana è Sotto Attacco: La Backdoor KeyPlug

L’Industria Italiana è Sotto Attacco: La Backdoor KeyPlug

Con l’ascesa dell’Industria 4.0 ed una maggiore tendenza alla digitalizzazione, stiamo assistendo ad un rapido avanzamento tecnologico. Questo sta portando innovazioni straordinarie, ma anche delle nuove ed insidiose minacce alla sicurezza. Tra queste spicca sicuramente KeyPlug: una backdoor utilizzata dal gruppo criminale filocinese APT41 che ha recentemente preso di mira le aziende italiane. La crescente digitalizzazione e la sofisticazione degli attacchi informatici rendono quindi necessario un approccio più olistico sull’argomento, dove tutto è interconnesso e la Cybersecurity ha un ruolo cruciale per la salvaguardia delle imprese e dei nostri dati sensibili.

Chi sono gli APT41?

APT41, noto anche come Double Dragon, è un gruppo di cyber criminali associati al governo cinese noto per condurre operazioni di spionaggio informatico ed attività criminali a scopo di lucro. Questo gruppo è operativo dal 2012 ed è famoso per la sua abilità di combinare diversi tipi di attacchi con tecniche di spionaggio ben mirate. APT41 prende di mira svariati settori, tra cui quelli industriali, governativi, tecnologici e mediatici con l’intento di rubare proprietà intellettuale, dati sensibili e compromettere i sistemi al fine di ottenere vantaggi strategici o economici.

Alcune tecniche di attacco adottate da APT41 includono l’uso di exploit zero-day, phishing e l’infiltrazione tramite fornitori di servizi IT compromessi. KeyPlug, in particolare, rappresenta una componente chiave di queste operazioni, permettendo al gruppo criminale di accedere ai sistemi infetti senza fare scattare gli allarmi.

Cos’è KeyPlug?

KeyPlug è una backdoor, ovvero un tipo di malware che permette agli attaccanti di ottenere accesso remoto ai sistemi compromessi. Così possono eseguire comandi, rubare dati e installare ulteriori malware. Questa backdoor è stata identificata per la prima volta nel 2023 e si distingue per la sua capacità di eludere le misure di sicurezza tradizionali. Viene distribuita principalmente tramite campagne di phishing, vulnerabilità nei software e altre tecniche di social engineering.
Il software di KeyPlug è stato scritto in C++ con varianti per piattaforme Windows e Linux ed è in circolo da almeno Giugno 2021. Supporta diversi protocolli di rete per il traffico e controllo, tra cui HTTP, TCP, KCP su UDP e WSS. Questo lo rende un potente strumento nell’arsenale di attacco cibernetico di APT41.

Il team di Tinexta Cyber ha analizzato entrambe le varianti per Windows e Linux, trovando diversi elementi in comune. Ad esempio, un meccanismo specifico che permette alla minaccia di restare resiliente all’interno dei sistemi attaccati nonostante la presenza di sistemi di sicurezza su ogni endpoint, tra i quali Firewall, NIDS e EDR.

Prendendo in considerazione la versione di KeyPlug per Microsoft Windows, l’infezione non parte direttamente , ma inizia da un altro componente che funziona come un loader sviluppato in .NET. Questo loader è progettato per decriptare un altro file camuffato in formato icona. La decrittazione avviene tramite AES con chiavi memorizzate direttamente nel campione stesso.

Cybersecurity Confronto del codice KeyPlug tra variante Windows e Linux (Report Tinexta Cyber)
Confronto del codice KeyPlug tra variante Windows e Linux (Report Tinexta Cyber)

La versione Linux del malware Keyplug sembrerebbe che utilizzi VMProtect e molte stringhe relative al packer UPX. In fase di analisi la routine di decompressione automatica non ha funzionato. Questa variante è progettata per decodificare il codice del payload durante l’esecuzione e, una volta completata, si rilancia utilizzando un fork di syscall, il che interrompe il flusso di controllo per gli analisti, rendendo più difficile l’analisi del malware.

La Risposta delle Autorità Italiane

L‘impatto di KeyPlug sulle aziende italiane è significativo. Dalla manifattura alla finanza, diverse aziende sono state e continuano tuttora ad essere nel mirino di questi attacchi. I rischi riguardano possibili conseguenze disastrose sia in termini di perdita di dati che di interruzione delle operazioni e danni di immagine. Le autorità italiane, in collaborazione con agenzie internazionali, stanno intensificando gli sforzi per contrastare la minaccia rappresentata da APT41 e KeyPlug.

Questo include la condivisione attiva di informazioni sulle tecniche di attacco e la promozione di best-practice per la cybersecurity, ma anche la creazione di partnership tra pubblico e privato per riuscire a migliorare la resilienza complessiva contro gli attacchi cibernetici.

Un passo avanti in questa direzione è rappresentato dall’adozione della Direttiva NIS 2, che mira a rafforzare la cybersecurity a livello europeo. Ma nella realtà dei fatti, grandi o piccole che siano, sono le aziende a doversi proteggere per prime.

La Direttiva NIS 2: Una Nuova Frontiera per la Cybersecurity Europea

La legislazione europea in materia di cybersecurity ha subito diverse trasformazioni nel corso degli anni. La Direttiva NIS originale è stata introdotta per stabilire un livello base di sicurezza e resilienza delle reti e dei sistemi informativi negli Stati membri.
L’aggiornamento a NIS 2 include l’adattamento alle nuove sfide tecnologiche e la necessità di colmare le lacune emerse nella sua implementazione, ampliando il suo ambito per includere un numero maggiore di settori e aziende ritenuti critici, come quello dell’Industria 4.0.

La Cybersecurity nell’Industria Italiana

Negli ultimi anni, l’Italia ha fatto dei grandi passi in avanti nel campo della cybersecurity. Sembrerebbe che le aziende stiano diventando sempre più consapevoli sulla necessità di proteggere le proprie infrastrutture digitali. La crescita del mercato italiano della cybersecurity ne è sicuramente la prova, che prevede di raggiungere 8,58 miliardi di dollari entro il 2033 con un CAGR del 10,1% nel periodo di previsione.

Tuttavia, nonostante questi progressi, molte aziende continuano ad ignorare l’importanza della cybersecurity, ritenendo erroneamente di essere al sicuro. Solo il 37,9% dei dipendenti italiani ha ricevuto una formazione sulla sicurezza informatica. Questo e molto altro pone l’Italia al 54° posto su 75 paesi in uno studio globale sulla sicurezza informatica​. Un chiaro segnale che c’è ancora molto da migliorare.

La Minaccia degli Attacchi Sofisticati

Gli attacchi di phishing rimangono una delle principali minacce, ma ne esistono anche degli altri più mirati e sottovalutati. Ad esempio, i dispositivi IoT, IIoT e gli HMI (Human-Machine Interface) sono sempre più bersagliati. Si tratta di “nuovi” vettori di attacco che i cybercriminali possono sfruttare per insediarsi in altri sistemi più critici. Questo significa che un semplice software antivirus o il far riferimento ad una serie di best-practice non è più sufficiente per proteggere le aziende dagli attacchi che diventano ogni giorno sempre più subdoli e sofisticati.

Intelligenza Artificiale e Cybersecurity nell'IoT

Per affrontare queste sfide è necessario un approccio multidisciplinare capace di andare oltre le misure di sicurezza tradizionali, tenere il passo con le ultime vulnerabilità ed essere orientati verso un monitoraggio attivo. Questo richiede risorse importanti e non è certo qualcosa di semplice da fare, ma è sicuramente meglio dover affrontare questa sfida piuttosto che una crisi. Ad esempio, le aziende potrebbero adottare un modello Zero Trust, ridurre le superfici di attacco, implementare un isolamento efficace delle reti ed utilizzare dei sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM) per monitorare e rispondere alle minacce in tempo reale.

La consapevolezza e la giusta preparazione sono altri due strumenti potenti nella lotta contro le minacce informatiche. Non bisogna guardare al futuro, perché quel giorno è già arrivato: le aziende di qualsiasi dimensione dovrebbero promuovere una cultura della sicurezza informatica, in cui ogni dipendente comprende appieno l’importanza della protezione dei dati e le migliori pratiche per evitare di cadere nelle trappole dei cyber criminali.

Conclusioni

KeyPlug e il gruppo APT41 rappresentano un esempio di minaccia concreta per le aziende italiane. La capacità di questi attori di condurre attacchi sofisticati richiede un approccio altrettanto avanzato nella difesa. Le aziende devono investire in tecnologie di cybersecurity, formazione e collaborazioni strategiche per proteggere i propri dati e infrastrutture. Solo attraverso una consapevolezza ed una preparazione adeguata è possibile mitigare l’impatto di queste minacce e garantire la sicurezza nel panorama digitale in continua evoluzione. In definitiva, la lotta agli attacchi informatici è una battaglia continua che richiede vigilanza, innovazione e cooperazione su diversi fronti. Le aziende italiane sono chiamate a rispondere con determinazione per proteggere sia il proprio futuro che i nostri dati sensibili.

Ivan Scordato
progettista elettrico e appassionato di nuove tecnologie. Scrive articoli di approfondimento tecnico e conosce anche tecniche SEO per la scrittura su web.