Questa recente backdoor risulta del tutto sconosciuta per qualsiasi tipo di antivirus e sta mietendo davvero tante “vittime” informatiche.
La sua complessità risiede nell’incredibile capacità di nascondersi fingendosi un software legittimo o addirittura un drive di sistema e nell’utilizzo di una crittografia sofisticata e persino della steganografia (ossia la tecnica usata per nascondere messaggi dentro un’immagine).
Attraverso questi escamotage questa backdoor risulta invisibile sia per gli utenti che, soprattutto, per gli antivirus, in modo da agire in maniera totalmente indisturbata per infettare i dispositivi utilizzati.
Come funziona
Titanium ha uno schema di infiltrazione molto complesso in quanto attraversa numerosi step e richiede un’ottima coordinazione tra tutti i passaggi. Inoltre, nessuno dei file usati può essere riconosciuto come pericoloso a causa delle tecnologie di crittografia usate e al fatto che si nasconde nella memoria.
Questa cyber minaccia usa diversi metodi per cominciare ad infettare i suoi obiettivi e diffondersi da un computer all’altro. Tale processo avviene mediante:
- una intranet locale che è già stata compromessa con un malware;
- un archivio autoestraente SFX contenente un’attività di installazione di Windows;
- uno shellcode (cioè un programma scritto in un linguaggio di programmazione di basso livello) che viene iniettato nel processo winlogon.exe.
Aldilà delle metodologie di accesso, le potenzialità di questa backdoor non cambiano e risultano davvero enormi. Difatti:
- può leggere qualsiasi file da un file system e inviarlo a un server controllato dagli hacker;
- riesce a scaricare ed eseguire un file o eliminarne altri dal file system;
- esegue operazioni dalla riga di comando e può inviare i risultati al server di controllo;
- è capace di aggiornare i suoi parametri di configurazione.
Creato dagli hacker Platinum
Titanium è stato creato da Platinum, un pericolosissimo gruppo di hacker che sta facendo girare questa minaccia estremamente evoluta.
Il temutissimo gruppo Platinum (nome conferito da Microsoft) è specializzato in attacchi contro strutture governative ed opera principalmente in Asia sudorientale.
Questa unione di cyber criminali è considerata una APT (Advanced Persistent Threat, cioè una minaccia avanzata e persistente) già dal 2009 e, sempre secondo Microsoft, opera molto probabilmente per conto di diversi servizi segreti. Il gruppo, infatti, persegue l’obiettivo principale di acquisire brevetti sensibili legati a interessi di un governo, e i suoi obiettivi preferiti sono sempre specifiche organizzazioni governative, istituti di difesa, agenzie di intelligence, istituzioni diplomatiche e fornitori di telecomunicazioni nel sud e sud-est asiatico.
Cosa c’è da temere?
Al momento, nessuna campagna hacker utilizza attivamente Titanium, ciò nonostante questa “arma” è realmente presente e possibilmente utilizzabile da chi ne è capace e vorrebbe trarne vantaggio illecito. Pertanto, c’è da stare tranquilli in modo molto relativo, poiché il basso profilo tenuto da Platinum durante gli attacchi è ben noto agli esperti di sicurezza e già in passato questo gruppo è riuscito ad operare nel silenzio più assoluto anche per anni interi prima di essere scoperto.
C’è da evidenziare come difficilmente gli utenti comuni potrebbero avere a che fare con un’infezione scaturita da Titanium, sia perché gli obiettivi del gruppo criminale sono tutti di altissimo livello sia perché, come già detto, questo collettivo opera in una precisa area geografica, ben lontana dall’Europa.
Tuttavia, questo pericolo non deve essere minimamente sottovalutato perché, se è vero che Platinum potrebbe agire anche per conto di governi nazionali, le sue attività potrebbero risultare devastanti per tutti.
Sei interessato ad altri contenuti di sicurezza informatica ed ethical hacking?
Continua a seguire il nostro blog e scopri il corso di Ethical Hacker & Security Manager targato Musa Formazione.
Al prossimo articolo!