Le backdoor rappresentano una minaccia critica per la sicurezza informatica, in quanto consentono agli aggressori di aggirare le difese standard e di accedere segretamente ai sistemi. A differenza degli attacchi frontali che attivano allarmi evidenti, una backdoor è un punto di ingresso nascosto che aggira i normali controlli di autenticazione e sicurezza. Una volta inserita, una backdoor può garantire un accesso persistente e di alto livello a utenti non autorizzati, consentendo il furto di dati, la sorveglianza e ulteriori attacchi e rimanendo spesso inosservata per lunghi periodi. Il presente rapporto fornisce una panoramica approfondita sulle backdoor per i professionisti della sicurezza informatica, che copre le definizioni, le basi tecniche, i tipi di backdoor, gli esempi storici di attacchi, le tecniche di rilevamento e le best practice per la prevenzione e la mitigazione (comprese le moderne piattaforme come Vectra AI per il rilevamento avanzato delle minacce). L'obiettivo è quello di fornire ai team di sicurezza una conoscenza approfondita delle minacce e delle difese contro le backdoor.
Nella cybersecurity, una backdoor è tipicamente definita come un metodo nascosto per aggirare la normale autenticazione o sicurezza di un sistema, di una rete o di un software, garantendo così un accesso remoto non autorizzato all'attaccante. In sostanza, funziona come una "botola" segreta nel software o nell'hardware: un ingresso alternativo non protetto dai consueti meccanismi di sicurezza. Le backdoor possono essere introdotte intenzionalmente (ad esempio da sviluppatori o insider malintenzionati) o inavvertitamente (attraverso vulnerabilità o configurazioni inadeguate).
Una backdoor può assumere diverse forme tecniche. Può essere una sezione di codice nascosta all'interno di un'applicazione, un programma dannoso separato in esecuzione con privilegi elevati, una modifica al firmware o persino un account segreto integrato in un sistema operativo . Alcune backdoor sono semplici come un malware che apre una porta di rete in ascolto per accettare comandi, mentre altre sono più sottili, ad esempio le backdoor crittografiche che indeboliscono intenzionalmente gli algoritmi di crittografia. Nel famoso caso Dual_EC_DRBG, il generatore di numeri casuali è stato progettato con una relazione nascosta tra le sue costanti crittografiche; un aggressore che conoscesse il segreto potrebbe prevedere tutti i futuri numeri "casuali" prodotti , sovvertendo di fatto la sicurezza della crittografia. Questo tipo di backdoor algoritmica dimostra come anche i componenti matematici possano essere aggirati per minare la sicurezza.
Gli aggressori installano le backdoor attraverso vari metodi. I vettori più comuni includono malware Trojan consegnato tramite phishing o download drive-by, sfruttamento di vulnerabilità software non patchate, abuso di credenziali predefinite o compromissioni della catena di fornitura in cui il codice dannoso viene inserito durante lo sviluppo del software o la distribuzione degli aggiornamenti. Una volta installata, una backdoor in genere stabilisce la persistenza (ad esempio modificando gli script di avvio o il firmware) per sopravvivere ai riavvii e agli aggiornamenti. Molte backdoor utilizzano anche tecniche stealth (come i rootkit che nascondono i processi o si mascherano da servizi legittimi) per evitare il rilevamento. Con una backdoor attiva, gli aggressori possono solitamente eseguire comandi con privilegi elevati, monitorare l'attività dell'utente, esfiltrare dati e persino diffondersi lateralmente ad altri sistemi, il tutto aggirando i normali controlli di sicurezza e rimanendo spesso notevolmente difficili da rilevare.
Le backdoor possono essere classificate in base al livello o al componente che prendono di mira. Di seguito sono riportati i principali tipi di backdoor, ciascuno con caratteristiche e rischi distinti:
Queste backdoor operano a livello di sistema operativo o di kernel, spesso garantendo il controllo di root o di amministratore sul computer di destinazione. Possono essere introdotte tramite rootkit, un malware furtivo che si aggancia al kernel del sistema operativo per nascondere la propria presenza. Le backdoor a livello di sistema possono anche assumere la forma di account utente del sistema operativo non documentati o di servizi in ascolto su porte segrete. Poiché vengono eseguite con privilegi elevati, possono essere molto potenti e persistenti. Ad esempio, una backdoor in modalità kernel potrebbe intercettare le chiamate di sistema per nascondere attività dannose o consentire a un aggressore di accedere con una master password sconosciuta agli utenti legittimi. Queste sono tra le backdoor più pericolose, poiché minano effettivamente la sicurezza fondamentale del sistema operativo.
Una backdoor a livello di applicazione è un codice dannoso incorporato in un'applicazione o in un componente software. Gli aggressori potrebbero modificare un'applicazione (o ingannare uno sviluppatore per includere una dipendenza contaminata) in modo che contenga una funzionalità nascosta per aggirare l'autenticazione o trafugare dati. Poiché la backdoor opera nel contesto di un'applicazione affidabile, potrebbe non essere evidente agli utenti o agli amministratori. Ad esempio, un'applicazione Web potrebbe avere una modalità "debug" o un'interfaccia di amministrazione nascosta (un hook di manutenzione) lasciata dagli sviluppatori che può essere attivata come backdoor. Le backdoor delle applicazioni sono in genere limitate all'ambito del software in questione, quindi il loro impatto potrebbe essere più limitato rispetto a quello di una backdoor a livello di sistema, ma rappresentano comunque un grave rischio in quanto potrebbero esporre dati sensibili dell'applicazione o account utente. In particolare, alcune malware stabiliscono backdoor di shell web nelle applicazioni di server web, consentendo agli aggressori di eseguire comandi sul server tramite richieste HTTP.
Si tratta di backdoor inserite in dispositivi hardware o firmware di basso livello, spesso durante la produzione o gli attacchi alla catena di fornitura. Le backdoor hardware possono essere estremamente furtive e persistenti. Tra gli esempi vi sono schede di rete, router o schede madri modificate con una logica nascosta che accetta comandi speciali, oppure impianti di firmware nel BIOS/UEFI o nei controller dei dispositivi. Poiché risiedono al di sotto del sistema operativo, le backdoor hardware possono eludere il software di sicurezza tradizionale. Un esempio storico è stato il chip Clipper proposto negli anni '90 (un chip di crittografia con una backdoor incorporata per il deposito delle chiavi governative). Più recentemente, malware come VPNFilter hanno preso di mira il firmware dei router, installando backdoor che sopravvivevano ai riavvii e consentivano agli aggressori di spiare il traffico di rete. Inoltre, sono state sollevate preoccupazioni riguardo alle backdoor presenti nell'hardware critico, come gli acceleratori crittografici o i motori di gestione (ad esempio, il sottosistema AMT di Intel), che potrebbero garantire agli aggressori un controllo quasi totale se sfruttate. Le backdoor a livello di hardware sono difficili da individuare e rimuovere: spesso l'unica soluzione è la sostituzione dell'hardware compromesso.
Un RAT è un programma malware che fornisce a un aggressore il controllo amministrativo remoto di un sistema tramite un canale backdoor. In genere i RAT si camuffano da file innocui o da software legittimo, ma una volta eseguiti aprono un collegamento di comunicazione segreto tra l'aggressore e il computer della vittima. Ciò consente all'aggressore di impartire comandi, monitorare l'utente (ad esempio tramite la registrazione dei tasti o l'attivazione della webcam), rubare file e persino manipolare il sistema in tempo reale. RAT come Back Orifice (1998), SubSeven e Poison Ivy sono diventati famosi tra la fine degli anni '90 e gli anni 2000 per aver dato agli hacker il pieno controllo dei computer Windows . I moderni RAT vengono spesso consegnati tramite e-mail phishing o download drive-by e vengono eseguiti silenziosamente in background, spesso cercando di eludere il rilevamento imitando il normale comportamento dei processi o utilizzando la crittografia per il loro traffico di rete. Poiché i RAT sono essenzialmente delle backdoor (forniscono un punto di accesso remoto non autorizzato), sono uno strumento prevalente nelle intrusioni. I professionisti della sicurezza considerano qualsiasi infezione da RAT rilevata come una grave violazione a causa dell'ampiezza del controllo che offre agli aggressori. (Va notato che le backdoor possono essere classificate anche in altri modi, ad esempio in base all'intento (backdoor maligne o legittimamente manutenute) o alla fase dell'attacco (preinstallate o post-exploitation). Inoltre, meritano di essere menzionate le backdoor crittografiche: si tratta di punti deboli introdotti intenzionalmente in algoritmi o protocolli di crittografia. Il caso Dual_EC_DRBG, discusso più avanti, è un ottimo esempio di backdoor crittografica in un algoritmo. Indipendentemente dal tipo, tutte le backdoor hanno in comune un percorso di accesso che aggira la normale sicurezza).
Esempi storici di attacchi con backdoor Le backdoor hanno avuto un ruolo in numerosi incidenti informatici di alto profilo. Di seguito riportiamo alcuni esempi significativi che illustrano come vengono impiantate le backdoor e l'impatto che possono avere:
L'incidente di SolarWinds è uno degli attacchi alla supply chain più famosi della storia recente. Gli aggressori (attribuiti all'APT29 russo, alias Cozy Bear) hanno compromesso il processo di creazione del software di gestione IT Orion di SolarWinds e hanno inserito una backdoor nascosta in un aggiornamento software di routine. Quando i clienti (oltre 18.000) hanno installato l'aggiornamento troianizzato, la backdoor - soprannominata SUNBURST - si è attivata e ha consentito agli aggressori l'accesso remoto alle reti di tali organizzazioni. Questa backdoor è stata utilizzata per la ricognizione segreta e l'esfiltrazione dei dati ed è rimasta inosservata per molti mesi nel 2020. Sono stati colpiti obiettivi di alto valore come agenzie governative statunitensi (Homeland Security, Tesoro, ecc.) e aziende tecnologiche (Microsoft, FireEye). La violazione è stata infine scoperta da FireEye nel dicembre 2020, quando ha notato un comportamento anomalo nella propria rete e lo ha ricondotto al software Orion. Il caso SolarWinds ha sottolineato il pericolo delle backdoor nei software di terze parti: sfruttando la fiducia negli aggiornamenti automatici, gli aggressori hanno sfruttato una singola backdoor per infiltrarsi potenzialmente in migliaia di organizzazioni contemporaneamente.
Dual_EC_DRBG è un generatore di numeri pseudocasuali crittografico standardizzato dal NIST nel 2006 e successivamente rivelato come dotato di una sospetta backdoor progettata dall'NSA. L'algoritmo utilizza la matematica delle curve ellittiche e include un insieme di costanti (punti su una curva ellittica) che, se scelte in modo malevolo, potrebbero consentire a chiunque conosca il segreto che sta dietro a tali costanti di prevedere i numeri casuali generati. Nel 2007, i ricercatori hanno dimostrato per la prima volta che le costanti potevano essere una botola nascosta, che consentiva di prevedere l'output del RNG dopo aver osservato un piccolo campione di dati in uscita. Nonostante questi avvertimenti, l'algoritmo è rimasto uno standard approvato per anni. I documenti dell'NSA trapelati nel 2013 (le fughe di notizie di Snowden) suggeriscono fortemente che l'NSA ha deliberatamente progettato Dual_EC_DRBG per renderlo debole, come parte del suo programma Bullrun per indebolire gli standard di crittografia. In seguito è stato riferito che RSA Security ha ricevuto un contratto segreto da 10 milioni di dollari dall'NSA per utilizzare Dual_EC_DRBG come generatore casuale predefinito nella sua libreria crittografica BSAFE - una decisione che avrebbe dato all'NSA una potenziale backdoor in qualsiasi prodotto che utilizzasse tale libreria. Una volta reso pubblico questo fatto, il NIST ha ritirato Dual_EC_DRBG e i principali fornitori lo hanno abbandonato. La saga di Dual_EC_DRBG è un esempio emblematico di backdoor a livello di algoritmo: un componente apparentemente sicuro che è stato sovvertito per consentire a chi ne è a conoscenza di violare la sicurezza. Ha sollevato seri problemi di fiducia nel settore per quanto riguarda l'influenza del governo sugli standard.
Nel 2015, Juniper Networks ha rivelato che in ScreenOS (il sistema operativo dei suoi firewall NetScreen) era stato trovato del codice non autorizzato che introduceva due backdoor. Una backdoor era una master password amministrativa che consentiva agli aggressori di accedere in remoto ai firewall con pieni privilegi. La seconda era una backdoor di crittografia probabilmente legata a Dual_EC_DRBG: la VPN di Juniper utilizzava Dual_EC per la casualità e gli aggressori avevano modificato la costante Dual_EC in ScreenOS, presumibilmente in una per la quale conoscevano la chiave segreta, consentendo così di decrittografare il traffico VPN  . I ricercatori hanno osservato che si tratta di un "esempio da manuale" di sfruttamento della debolezza Dual_EC istigata dall'NSA . L'incidente di Juniper ha dimostrato il pericolo di sfruttare le backdoor imposte dal governo: anche se l'attaccante non era direttamente l'NSA, qualcun altro ha sfruttato la debolezza per il proprio spionaggio  . Inoltre, ha messo in evidenza come un attore sofisticato possa inserire codice dannoso nel codice sorgente di un prodotto (una minaccia interna alla catena di approvvigionamento), creando un accesso backdoor difficile da individuare. Juniper ha rilasciato rapidamente delle patch per rimuovere il codice maligno, ma l'incidente ha lasciato molti dubbi sull'integrità dei processi di sicurezza del codice.
Uso improprio di uno strumento di amministrazione remota: Back Orifice è stato rilasciato nel 1998 da un gruppo di hacker (Cult of the Dead Cow) come strumento di amministrazione remota "legittimo" per Windows, ma è presto diventato famoso come malware. Funzionava essenzialmente come un RAT/backdoor che consentiva il controllo remoto dei sistemi Windows 95/98. Gli aggressori ingannavano gli utenti con l'esecuzione del programma. Gli aggressori ingannavano gli utenti e li inducevano a eseguire Back Orifice, che a quel punto veniva eseguito furtivamente e consentiva all'aggressore di eseguire operazioni come la cattura di schermate e sequenze di tasti o la manipolazione di file sul PC della vittima. Questo primo esempio ha mostrato come uno strumento di amministrazione remota possa essere utilizzato come backdoor, esponendo i gravi rischi di un accesso nascosto. Una volta installato, Back Orifice poteva compromettere completamente la riservatezza e l'integrità di un sistema. Questo ha insegnato ai professionisti della sicurezza che qualsiasi strumento che garantisca l'accesso remoto deve essere strettamente controllato, poiché la linea che separa un'utile utility di amministrazione da un trojan backdoor può essere molto sottile.
Altri esempi di backdoor degni di nota sono Stuxnet (2010), che ha impiegato più backdoor nei sistemi industriali iraniani come parte del suo payload; la violazione di Sony Pictures (2014), in cui gli aggressori hanno installato backdoor per mantenere l'accesso ed esfiltrare vaste quantità di dati ; e backdoor a livello hardware come i presunti impianti di schede madri riportati (in modo controverso) nel 2018. Ogni incidente sottolinea i vari modi in cui le backdoor possono manifestarsi - tramite aggiornamenti software, malware, sovversione crittografica o manipolazione dell'hardware - e le conseguenze potenzialmente devastanti del loro utilizzo.
La prevenzione delle backdoor richiede un approccio globale e multilivello alla sicurezza. Ecco alcune strategie che i team SOC possono attuare per ridurre al minimo il rischio di installazione e sfruttamento di backdoor:
Mantenere tutti i software aggiornati è fondamentale per prevenire le backdoor. Gli aggressori spesso sfruttano le vulnerabilità note del software obsoleto per installare backdoor.
Limitare l'accesso ai sistemi e ai dati sensibili può ridurre il rischio di installazione di backdoor da parte di persone interne.
La suddivisione di una rete in segmenti può contenere la diffusione di un attacco e rendere più difficile per gli aggressori spostarsi lateralmente.
Implementare strumenti avanzati per rilevare e rispondere alle attività sospette che potrebbero indicare la presenza di una backdoor.
Assicurarsi che il software interno e di terzi segua pratiche di codifica sicure per ridurre al minimo le vulnerabilità che potrebbero essere sfruttate.
La formazione dei dipendenti sulle best practice di sicurezza e sulle potenziali minacce può ridurre il rischio di minacce interne e di attacchi di social engineering.
Preparatevi a potenziali incidenti backdoor con un solido piano di risposta agli incidenti.
Implementando queste strategie, i team SOC possono ridurre significativamente il rischio di installazione e sfruttamento di backdoor, migliorando così la postura di sicurezza complessiva dell'organizzazione.
Vectra AI eccelle nel rilevamento e nella mitigazione delle backdoor grazie a funzionalità avanzate di rilevamento e risposta alle minacce basate sull'intelligenza artificiale. Monitorando continuamente il traffico di rete e i comportamenti del sistema, Vectra AI identifica le attività insolite che possono indicare la presenza di una backdoor. La nostra piattaforma fornisce approfondimenti e risposte automatiche per neutralizzare rapidamente le minacce. Per vedere come Vectra AI può migliorare la vostra posizione di sicurezza, vi invitiamo a guardare una demo autoguidata della nostra piattaforma.
Nella cybersecurity, una backdoor si riferisce a un metodo, spesso installato segretamente, che aggira le normali procedure di autenticazione per ottenere l'accesso remoto a un sistema informatico, a una rete o a un'applicazione software. Può essere utilizzata per scopi dannosi dagli aggressori o per scopi legittimi dagli amministratori di sistema.
Le backdoor possono essere installate attraverso vari mezzi, tra cui lo sfruttamento delle vulnerabilità del sistema, gli attacchi phishing , l'installazione di software dannoso o durante lo sviluppo iniziale del software da parte di insider malintenzionati o attraverso la compromissione della catena di fornitura.
I rischi includono l'accesso non autorizzato ai dati, il furto di dati, l'installazione di ulteriore malware, il danneggiamento del sistema e la creazione di un punto di appoggio per attacchi futuri. Le backdoor compromettono la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati.
Le organizzazioni possono rilevare le backdoor effettuando regolari scansioni del sistema e della rete con strumenti avanzati di rilevamento malware , monitorando il traffico o il comportamento insolito della rete ed eseguendo verifiche del codice nei processi di sviluppo del software.
Le strategie di prevenzione comprendono: Aggiornare e applicare regolarmente patch a sistemi e software per risolvere le vulnerabilità. L'impiego di un'autenticazione forte e a più fattori e di controlli di accesso. Condurre corsi di formazione sulla sicurezza per ridurre il rischio di phishing e altri attacchi di social engineering. Utilizzo di whitelisting delle applicazioni per impedire l'esecuzione di applicazioni non autorizzate. Implementare la segmentazione della rete per limitare i movimenti laterali.
Le backdoor possono essere legittime per scopi quali l'amministrazione remota o la risoluzione dei problemi da parte del personale IT. Tuttavia, il loro utilizzo richiede una gestione rigorosa attraverso metodi di autenticazione sicuri, una registrazione dettagliata di tutti gli accessi e controlli regolari per garantire che non vengano sfruttate per scopi dannosi.
Una volta rilevata una backdoor, le organizzazioni devono isolare immediatamente i sistemi interessati, condurre un'indagine approfondita per determinare l'entità della violazione, rimuovere la backdoor e qualsiasi malware correlato e ripristinare i sistemi interessati da backup puliti, se necessario.
La crittografia svolge un ruolo fondamentale nel proteggere i dati in transito e a riposo, rendendo difficile l'accesso o la decifrazione di informazioni sensibili da parte di utenti non autorizzati che sfruttano una backdoor.
La proliferazione dei dispositivi IoT e intelligenti espande la potenziale superficie di attacco per le backdoor, introducendo nuove vulnerabilità in dispositivi che potrebbero non essere stati progettati con la sicurezza come priorità. Assicurarsi che questi dispositivi siano configurati in modo sicuro e aggiornati regolarmente è fondamentale per mitigare le minacce di backdoor.
Gli sviluppi futuri potrebbero includere l'avanzamento delle tecnologie di intelligenza artificiale e di apprendimento automatico per migliorare le capacità di rilevamento, requisiti normativi più stringenti per la sicurezza del software e dei dispositivi IoT e l'adozione di principi di secure by design nello sviluppo di software e hardware per ridurre al minimo le vulnerabilità.