Un rootkit è un programma software dannoso che aiuta i criminali informatici a infiltrarsi in un sistema e ad assumerne il controllo. Gli hacker utilizzano i rootkit a fini di spionaggio, furto di dati e distribuzione di altro malware, ad esempio ransomware, il tutto senza lasciare traccia. Una volta che un rootkit è installato in un dispositivo, può intercettare le chiamate di sistema, sostituire software e processi e far parte di un kit di exploit più ampio, contenente altri moduli, come keylogger, malware per il furto di dati o anche malware per il mining di criptovaluta.
Questi tipi di programmi sono tuttavia difficili da sviluppare, in quanto la loro creazione richiede tempo e denaro. La maggior parte degli attacchi basati su rootkit è quindi associata a bande di criminali che creano minacce persistenti avanzate (APT), in quanto dispongono delle competenze e delle risorse per sviluppare questa forma di malware. Questi tendono, di conseguenza, a selezionare obiettivi di alto valore, sia per gli attacchi motivati da ragioni finanziarie che per quelli motivati da spionaggio.
Uno studio che analizza l’evoluzione e l’uso dei rootkit per portare a termini attacchi informatici ha svelato che, nel 56% dei casi, i criminali utilizzano questo tipo di software per attaccare persone di alto profilo, ad esempio funzionari di alto livello, diplomatici o dipendenti di organizzazioni appetibili per gli hacker. Fra i settori maggiormente colpiti da queste minacce figurano gli enti governativi, che si collocano al primo posto (44%), seguiti da istituti di ricerca (38%), operatori di telecomunicazioni (25%), aziende industriali (19%) e organizzazioni finanziarie (19%).
Lo studio ha anche mostrato che i rootkit sono spesso diffusi attraverso tattiche di social engineering, in particolare attraverso l’uso del phishing (69%) e lo sfruttamento di vulnerabilità (62%).
Tipi di rootkit
Esistono tre tipi di rootkit, che vengono classificati in base al livello di privilegi ottenuti, e sono i seguenti:
- Rootkit in modalità kernel: questo tipo di rootkit funziona a livello di kernel, ha quindi gli stessi privilegi del sistema operativo. Sono progettati come driver di dispositivo o moduli caricabili. Il loro sviluppo è complicato, in quanto un errore nel codice sorgente può influire sulla stabilità del sistema, rendendo evidente il malware.
- Rootkit in modalità utente: sono più semplici da sviluppare rispetto a quelli in modalità kernel, dato che occorre meno precisione e competenza per progettarli, quindi di solito vengono utilizzati in attacchi di massa. Questi rootkit funzionano con meno privilegi, sebbene possano intercettare le chiamate di sistema e sostituire i valori restituiti dalle API e dalle applicazioni per ottenere il controllo della macchina.
- Rootkit combinati: questi tipi di rootkit sono progettati in modo da unire le due modalità di funzionamento e agire a entrambi i livelli.
Nell’autunno 2021, il gruppo nordcoreano Lazarus ha condotto una campagna di distribuzione di rootkit che ha preso di mira un dipendente di un’azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio. Entrambi gli obiettivi sono stati contattati con la scusa di un’opportunità di lavoro per una società prestigiosa e hanno inviato documenti allegati alla presunta offerta di lavoro. Uno di loro l’ha ricevuta tramite LinkedIn e l’altro tramite e-mail. Tuttavia, l’apertura dei file ha innescato una serie di attacchi. Secondo gli investigatori che hanno lavorato al caso, i quali hanno svelato le loro scoperte nel settembre di quest’anno, l’incidente più sorprendente è stato causato da un modulo rootkit che sfruttava una vulnerabilità nei driver dei dispositivi Dell per acquisire la capacità di leggere e scrivere nella memoria del kernel.
Come proteggere l’azienda da questo tipo di attacchi
Sebbene minacce di questo tipo siano progettate in modo da evitare di essere rilevate, esistono soluzioni in grado non solo di rilevarle, ma anche di contenerle e bloccarle. I dispositivi WatchGuard Firebox includono tre funzioni avanzate in grado di identificare e arrestare questi malware:
- APT Blocker: si tratta di una tecnologia sandbox in grado di rilevare il rootkit anche prima che acceda al sistema. Analizza il comportamento per determinare se un file è dannoso identificando e inviando file sospetti a una sandbox basata su cloud che ne emula l’esecuzione e analizza il codice del file. Se il file è dannoso, APT entra in azione e lo blocca per proteggere la rete.
- Difesa da malware basata sull’intelligenza artificiale: è progettata per identificare le minacce scomponendo milioni di file nei loro componenti fondamentali e quindi analizzando le caratteristiche di ciascuno in combinazione per identificare gli indicatori di intenti dannosi. Se viene rilevato malware, il file viene bloccato prima di essere eseguito.
- Visibilità nel cloud: con gli attacchi rootkit, è importante avere piena visibilità della rete per analizzare le anomalie. Ciò consente un’esplorazione approfondita in base alle informazioni dettagliate contenute nei report generati dalla piattaforma.
I criminali informatici possono essere molto intraprendenti quando si tratta di portare a termine minacce sofisticate, ma è comunque possibile ostacolarli. La chiave è proteggere le reti aziendali con soluzioni adeguate, in grado di bloccare gli attacchi rootkit prima che sia troppo tardi.