Il team di Google Project Zero ha appena pubblicato una dettagliata analisi, suddivisa in sei parti, di ciò che è successo nei mesi scorsi.
Si parla di un’aggressione sofisticata che i tecnici dell’azienda di Mountain View hanno rilevato a inizio 2020.
Un gruppo di criminali informatici avrebbe messo in atto un efficace attacco watering hole.
Si chiamano così quelle particolari aggressioni che sfruttano un effetto sorpresa.
Usando una semplice similitudine, se qualcuno è solito bere attingendo l’acqua da un pozzo, un criminale potrebbe avvelenare l’acqua per fare del male a coloro che provassero a dissetarsi.
In campo informatico il criminale aggredisce un’applicazione, un sito web o un servizio tipicamente utilizzato dalla vittima e attende che il vero bersaglio si infetti a sua volta usando uno degli strumenti attaccati in precedenza.
Da Google Project Zero si spiega che è stata utilizzata una catena di codici exploit basati sia su zero-day che su n-day ovvero, rispettivamente, problematiche di sicurezza sconosciute in precedenza agli sviluppatori software e vulnerabilità già corrette con la distribuzione di apposite patch che però continuano a essere utilizzate dagli aggressori.
Google spiega che sono state contemporaneamente utilizzate:
- Quattro bug di Google Chrome relativi al rendering delle risorse presenti nelle pagine Web. Uno di essi era uno zero-day al momento della scoperta della campagna malevola posta in atto dai criminali informatici
- Due exploit che permettevano di sfuggire alla sandbox a livello di sistema operativo Windows
- Un insieme di alcune vulnerabilità n-day per l’acquisizione di privilegi più elevati scoperte nelle versioni non aggiornate di Android
Google osserva che “si tratta di codici malevoli complessi e ben congegnati che usavano una varietà di nuovi metodi di infezione, abilità di logging evolute, sofisticate tecniche post-exploitation, espedienti avanzati per sfuggire al controllo delle soluzioni per la sicurezza e in generale al rilevamento“.
Gli esperti di Project Zero hanno però al momento preferito mantenere il massimo riserbo sulla provenienza degli attacchi e sui soggetti che sono stati presi di mira a partire da inizio 2020.