Approfondimenti chiave

  • Nel 2023, il 70% delle organizzazioni ha dichiarato di aver scoperto almeno una backdoor nei propri sistemi (fonte: Cybersecurity Ventures).
  • Le backdoor sono state coinvolte nel 30% di tutte le violazioni di dati nel 2023 (fonte: Verizon Data Breach Investigations Report).

Le backdoor rappresentano una minaccia critica per la sicurezza informatica, in quanto consentono agli aggressori di aggirare le difese standard e di accedere segretamente ai sistemi. A differenza degli attacchi frontali che attivano allarmi evidenti, una backdoor è un punto di ingresso nascosto che aggira i normali controlli di autenticazione e sicurezza. Una volta inserita, una backdoor può garantire un accesso persistente e di alto livello a utenti non autorizzati, consentendo il furto di dati, la sorveglianza e ulteriori attacchi e rimanendo spesso inosservata per lunghi periodi. Il presente rapporto fornisce una panoramica approfondita sulle backdoor per i professionisti della sicurezza informatica, che copre le definizioni, le basi tecniche, i tipi di backdoor, gli esempi storici di attacchi, le tecniche di rilevamento e le best practice per la prevenzione e la mitigazione (comprese le moderne piattaforme come Vectra AI per il rilevamento avanzato delle minacce). L'obiettivo è quello di fornire ai team di sicurezza una conoscenza approfondita delle minacce e delle difese contro le backdoor.

Cos'è una backdoor (definizione e spiegazione tecnica)

Nella cybersecurity, una backdoor è tipicamente definita come un metodo nascosto per aggirare la normale autenticazione o sicurezza di un sistema, di una rete o di un software, garantendo così un accesso remoto non autorizzato all'attaccante. In sostanza, funziona come una "botola" segreta nel software o nell'hardware: un ingresso alternativo non protetto dai consueti meccanismi di sicurezza. Le backdoor possono essere introdotte intenzionalmente (ad esempio da sviluppatori o insider malintenzionati) o inavvertitamente (attraverso vulnerabilità o configurazioni inadeguate).

Meccanismi tecnici

Una backdoor può assumere diverse forme tecniche. Può essere una sezione di codice nascosta all'interno di un'applicazione, un programma dannoso separato in esecuzione con privilegi elevati, una modifica al firmware o persino un account segreto integrato in un sistema operativo . Alcune backdoor sono semplici come un malware che apre una porta di rete in ascolto per accettare comandi, mentre altre sono più sottili, ad esempio le backdoor crittografiche che indeboliscono intenzionalmente gli algoritmi di crittografia. Nel famoso caso Dual_EC_DRBG, il generatore di numeri casuali è stato progettato con una relazione nascosta tra le sue costanti crittografiche; un aggressore che conoscesse il segreto potrebbe prevedere tutti i futuri numeri "casuali" prodotti , sovvertendo di fatto la sicurezza della crittografia. Questo tipo di backdoor algoritmica dimostra come anche i componenti matematici possano essere aggirati per minare la sicurezza.

Installazione e persistenza

Gli aggressori installano le backdoor attraverso vari metodi. I vettori più comuni includono malware Trojan consegnato tramite phishing o download drive-by, sfruttamento di vulnerabilità software non patchate, abuso di credenziali predefinite o compromissioni della catena di fornitura in cui il codice dannoso viene inserito durante lo sviluppo del software o la distribuzione degli aggiornamenti. Una volta installata, una backdoor in genere stabilisce la persistenza (ad esempio modificando gli script di avvio o il firmware) per sopravvivere ai riavvii e agli aggiornamenti. Molte backdoor utilizzano anche tecniche stealth (come i rootkit che nascondono i processi o si mascherano da servizi legittimi) per evitare il rilevamento. Con una backdoor attiva, gli aggressori possono solitamente eseguire comandi con privilegi elevati, monitorare l'attività dell'utente, esfiltrare dati e persino diffondersi lateralmente ad altri sistemi, il tutto aggirando i normali controlli di sicurezza e rimanendo spesso notevolmente difficili da rilevare.

Tipi di backdoor

Le backdoor possono essere classificate in base al livello o al componente che prendono di mira. Di seguito sono riportati i principali tipi di backdoor, ciascuno con caratteristiche e rischi distinti:

Backdoor a livello di sistema

Queste backdoor operano a livello di sistema operativo o di kernel, spesso garantendo il controllo di root o di amministratore sul computer di destinazione. Possono essere introdotte tramite rootkit, un malware furtivo che si aggancia al kernel del sistema operativo per nascondere la propria presenza. Le backdoor a livello di sistema possono anche assumere la forma di account utente del sistema operativo non documentati o di servizi in ascolto su porte segrete. Poiché vengono eseguite con privilegi elevati, possono essere molto potenti e persistenti. Ad esempio, una backdoor in modalità kernel potrebbe intercettare le chiamate di sistema per nascondere attività dannose o consentire a un aggressore di accedere con una master password sconosciuta agli utenti legittimi. Queste sono tra le backdoor più pericolose, poiché minano effettivamente la sicurezza fondamentale del sistema operativo.

Backdoor a livello di applicazione

Una backdoor a livello di applicazione è un codice dannoso incorporato in un'applicazione o in un componente software. Gli aggressori potrebbero modificare un'applicazione (o ingannare uno sviluppatore per includere una dipendenza contaminata) in modo che contenga una funzionalità nascosta per aggirare l'autenticazione o trafugare dati. Poiché la backdoor opera nel contesto di un'applicazione affidabile, potrebbe non essere evidente agli utenti o agli amministratori. Ad esempio, un'applicazione Web potrebbe avere una modalità "debug" o un'interfaccia di amministrazione nascosta (un hook di manutenzione) lasciata dagli sviluppatori che può essere attivata come backdoor. Le backdoor delle applicazioni sono in genere limitate all'ambito del software in questione, quindi il loro impatto potrebbe essere più limitato rispetto a quello di una backdoor a livello di sistema, ma rappresentano comunque un grave rischio in quanto potrebbero esporre dati sensibili dell'applicazione o account utente. In particolare, alcune malware stabiliscono backdoor di shell web nelle applicazioni di server web, consentendo agli aggressori di eseguire comandi sul server tramite richieste HTTP.

Backdoor hardware/firmware

Si tratta di backdoor inserite in dispositivi hardware o firmware di basso livello, spesso durante la produzione o gli attacchi alla catena di fornitura. Le backdoor hardware possono essere estremamente furtive e persistenti. Tra gli esempi vi sono schede di rete, router o schede madri modificate con una logica nascosta che accetta comandi speciali, oppure impianti di firmware nel BIOS/UEFI o nei controller dei dispositivi. Poiché risiedono al di sotto del sistema operativo, le backdoor hardware possono eludere il software di sicurezza tradizionale. Un esempio storico è stato il chip Clipper proposto negli anni '90 (un chip di crittografia con una backdoor incorporata per il deposito delle chiavi governative). Più recentemente, malware come VPNFilter hanno preso di mira il firmware dei router, installando backdoor che sopravvivevano ai riavvii e consentivano agli aggressori di spiare il traffico di rete. Inoltre, sono state sollevate preoccupazioni riguardo alle backdoor presenti nell'hardware critico, come gli acceleratori crittografici o i motori di gestione (ad esempio, il sottosistema AMT di Intel), che potrebbero garantire agli aggressori un controllo quasi totale se sfruttate. Le backdoor a livello di hardware sono difficili da individuare e rimuovere: spesso l'unica soluzione è la sostituzione dell'hardware compromesso.

Trojan di accesso remoto (RAT) e strumenti di amministrazione remota

Un RAT è un programma malware che fornisce a un aggressore il controllo amministrativo remoto di un sistema tramite un canale backdoor. In genere i RAT si camuffano da file innocui o da software legittimo, ma una volta eseguiti aprono un collegamento di comunicazione segreto tra l'aggressore e il computer della vittima. Ciò consente all'aggressore di impartire comandi, monitorare l'utente (ad esempio tramite la registrazione dei tasti o l'attivazione della webcam), rubare file e persino manipolare il sistema in tempo reale. RAT come Back Orifice (1998), SubSeven e Poison Ivy sono diventati famosi tra la fine degli anni '90 e gli anni 2000 per aver dato agli hacker il pieno controllo dei computer Windows . I moderni RAT vengono spesso consegnati tramite e-mail phishing o download drive-by e vengono eseguiti silenziosamente in background, spesso cercando di eludere il rilevamento imitando il normale comportamento dei processi o utilizzando la crittografia per il loro traffico di rete. Poiché i RAT sono essenzialmente delle backdoor (forniscono un punto di accesso remoto non autorizzato), sono uno strumento prevalente nelle intrusioni. I professionisti della sicurezza considerano qualsiasi infezione da RAT rilevata come una grave violazione a causa dell'ampiezza del controllo che offre agli aggressori. (Va notato che le backdoor possono essere classificate anche in altri modi, ad esempio in base all'intento (backdoor maligne o legittimamente manutenute) o alla fase dell'attacco (preinstallate o post-exploitation). Inoltre, meritano di essere menzionate le backdoor crittografiche: si tratta di punti deboli introdotti intenzionalmente in algoritmi o protocolli di crittografia. Il caso Dual_EC_DRBG, discusso più avanti, è un ottimo esempio di backdoor crittografica in un algoritmo. Indipendentemente dal tipo, tutte le backdoor hanno in comune un percorso di accesso che aggira la normale sicurezza).

Esempi notevoli di backdoor

Esempi storici di attacchi con backdoor Le backdoor hanno avuto un ruolo in numerosi incidenti informatici di alto profilo. Di seguito riportiamo alcuni esempi significativi che illustrano come vengono impiantate le backdoor e l'impatto che possono avere:

Attacco alla Supply Chain SolarWinds "SUNBURST" (2020)

L'incidente di SolarWinds è uno degli attacchi alla supply chain più famosi della storia recente. Gli aggressori (attribuiti all'APT29 russo, alias Cozy Bear) hanno compromesso il processo di creazione del software di gestione IT Orion di SolarWinds e hanno inserito una backdoor nascosta in un aggiornamento software di routine. Quando i clienti (oltre 18.000) hanno installato l'aggiornamento troianizzato, la backdoor - soprannominata SUNBURST - si è attivata e ha consentito agli aggressori l'accesso remoto alle reti di tali organizzazioni. Questa backdoor è stata utilizzata per la ricognizione segreta e l'esfiltrazione dei dati ed è rimasta inosservata per molti mesi nel 2020. Sono stati colpiti obiettivi di alto valore come agenzie governative statunitensi (Homeland Security, Tesoro, ecc.) e aziende tecnologiche (Microsoft, FireEye). La violazione è stata infine scoperta da FireEye nel dicembre 2020, quando ha notato un comportamento anomalo nella propria rete e lo ha ricondotto al software Orion. Il caso SolarWinds ha sottolineato il pericolo delle backdoor nei software di terze parti: sfruttando la fiducia negli aggiornamenti automatici, gli aggressori hanno sfruttato una singola backdoor per infiltrarsi potenzialmente in migliaia di organizzazioni contemporaneamente.

Backdoor di crittografia Dual_EC_DRBG (2004-2013)

Dual_EC_DRBG è un generatore di numeri pseudocasuali crittografico standardizzato dal NIST nel 2006 e successivamente rivelato come dotato di una sospetta backdoor progettata dall'NSA. L'algoritmo utilizza la matematica delle curve ellittiche e include un insieme di costanti (punti su una curva ellittica) che, se scelte in modo malevolo, potrebbero consentire a chiunque conosca il segreto che sta dietro a tali costanti di prevedere i numeri casuali generati. Nel 2007, i ricercatori hanno dimostrato per la prima volta che le costanti potevano essere una botola nascosta, che consentiva di prevedere l'output del RNG dopo aver osservato un piccolo campione di dati in uscita. Nonostante questi avvertimenti, l'algoritmo è rimasto uno standard approvato per anni. I documenti dell'NSA trapelati nel 2013 (le fughe di notizie di Snowden) suggeriscono fortemente che l'NSA ha deliberatamente progettato Dual_EC_DRBG per renderlo debole, come parte del suo programma Bullrun per indebolire gli standard di crittografia. In seguito è stato riferito che RSA Security ha ricevuto un contratto segreto da 10 milioni di dollari dall'NSA per utilizzare Dual_EC_DRBG come generatore casuale predefinito nella sua libreria crittografica BSAFE - una decisione che avrebbe dato all'NSA una potenziale backdoor in qualsiasi prodotto che utilizzasse tale libreria. Una volta reso pubblico questo fatto, il NIST ha ritirato Dual_EC_DRBG e i principali fornitori lo hanno abbandonato. La saga di Dual_EC_DRBG è un esempio emblematico di backdoor a livello di algoritmo: un componente apparentemente sicuro che è stato sovvertito per consentire a chi ne è a conoscenza di violare la sicurezza. Ha sollevato seri problemi di fiducia nel settore per quanto riguarda l'influenza del governo sugli standard.

Backdoor ScreenOS di Juniper Networks (2015)

Nel 2015, Juniper Networks ha rivelato che in ScreenOS (il sistema operativo dei suoi firewall NetScreen) era stato trovato del codice non autorizzato che introduceva due backdoor. Una backdoor era una master password amministrativa che consentiva agli aggressori di accedere in remoto ai firewall con pieni privilegi. La seconda era una backdoor di crittografia probabilmente legata a Dual_EC_DRBG: la VPN di Juniper utilizzava Dual_EC per la casualità e gli aggressori avevano modificato la costante Dual_EC in ScreenOS, presumibilmente in una per la quale conoscevano la chiave segreta, consentendo così di decrittografare il traffico VPN  . I ricercatori hanno osservato che si tratta di un "esempio da manuale" di sfruttamento della debolezza Dual_EC istigata dall'NSA . L'incidente di Juniper ha dimostrato il pericolo di sfruttare le backdoor imposte dal governo: anche se l'attaccante non era direttamente l'NSA, qualcun altro ha sfruttato la debolezza per il proprio spionaggio  . Inoltre, ha messo in evidenza come un attore sofisticato possa inserire codice dannoso nel codice sorgente di un prodotto (una minaccia interna alla catena di approvvigionamento), creando un accesso backdoor difficile da individuare. Juniper ha rilasciato rapidamente delle patch per rimuovere il codice maligno, ma l'incidente ha lasciato molti dubbi sull'integrità dei processi di sicurezza del codice.

Orifizio posteriore (1998)

Uso improprio di uno strumento di amministrazione remota: Back Orifice è stato rilasciato nel 1998 da un gruppo di hacker (Cult of the Dead Cow) come strumento di amministrazione remota "legittimo" per Windows, ma è presto diventato famoso come malware. Funzionava essenzialmente come un RAT/backdoor che consentiva il controllo remoto dei sistemi Windows 95/98. Gli aggressori ingannavano gli utenti con l'esecuzione del programma. Gli aggressori ingannavano gli utenti e li inducevano a eseguire Back Orifice, che a quel punto veniva eseguito furtivamente e consentiva all'aggressore di eseguire operazioni come la cattura di schermate e sequenze di tasti o la manipolazione di file sul PC della vittima. Questo primo esempio ha mostrato come uno strumento di amministrazione remota possa essere utilizzato come backdoor, esponendo i gravi rischi di un accesso nascosto. Una volta installato, Back Orifice poteva compromettere completamente la riservatezza e l'integrità di un sistema. Questo ha insegnato ai professionisti della sicurezza che qualsiasi strumento che garantisca l'accesso remoto deve essere strettamente controllato, poiché la linea che separa un'utile utility di amministrazione da un trojan backdoor può essere molto sottile.

Altri esempi di backdoor degni di nota sono Stuxnet (2010), che ha impiegato più backdoor nei sistemi industriali iraniani come parte del suo payload; la violazione di Sony Pictures (2014), in cui gli aggressori hanno installato backdoor per mantenere l'accesso ed esfiltrare vaste quantità di dati ; e backdoor a livello hardware come i presunti impianti di schede madri riportati (in modo controverso) nel 2018. Ogni incidente sottolinea i vari modi in cui le backdoor possono manifestarsi - tramite aggiornamenti software, malware, sovversione crittografica o manipolazione dell'hardware - e le conseguenze potenzialmente devastanti del loro utilizzo.

Prevenzione delle backdoor

La prevenzione delle backdoor richiede un approccio globale e multilivello alla sicurezza. Ecco alcune strategie che i team SOC possono attuare per ridurre al minimo il rischio di installazione e sfruttamento di backdoor:

1. Aggiornamenti regolari del software e gestione delle patch

Mantenere tutti i software aggiornati è fondamentale per prevenire le backdoor. Gli aggressori spesso sfruttano le vulnerabilità note del software obsoleto per installare backdoor.

  • Aggiornare regolarmente i sistemi operativi, le applicazioni e il firmware.
  • Implementare un processo di gestione delle patch per garantire l'applicazione tempestiva delle patch di sicurezza.

2. Forti controlli di accesso

Limitare l'accesso ai sistemi e ai dati sensibili può ridurre il rischio di installazione di backdoor da parte di persone interne.

  • Applicare il principio del minimo privilegio (PoLP): Fornire agli utenti solo l'accesso necessario per svolgere le loro funzioni lavorative.
  • Utilizzate l'autenticazione a più fattori (MFA) per aggiungere un ulteriore livello di sicurezza.
  • Rivedere e aggiornare regolarmente le autorizzazioni di accesso per garantire che siano appropriate.

3. Segmentazione della rete

La suddivisione di una rete in segmenti può contenere la diffusione di un attacco e rendere più difficile per gli aggressori spostarsi lateralmente.

  • Implementare la segmentazione della rete per isolare i sistemi critici e i dati sensibili.
  • Utilizzare VLAN e firewall per controllare il traffico tra i segmenti.

4. Rilevamento e monitoraggio avanzato delle minacce

Implementare strumenti avanzati per rilevare e rispondere alle attività sospette che potrebbero indicare la presenza di una backdoor.

  • Utilizzare soluzioni di rilevamento delle minacce basate sull'intelligenza artificiale per identificare anomalie e comportamenti insoliti.
  • Implementare strumenti di rilevamento e risposta endpoint (EDR) per monitorare gli endpoint alla ricerca di segni di compromissione.
  • Eseguire un monitoraggio continuo della rete per rilevare gli accessi non autorizzati e l'esfiltrazione dei dati.

5. Pratiche di sviluppo sicuro del software

Assicurarsi che il software interno e di terzi segua pratiche di codifica sicure per ridurre al minimo le vulnerabilità che potrebbero essere sfruttate.

  • Eseguire regolarmente valutazioni di sicurezza e revisioni del codice durante il processo di sviluppo.
  • Utilizzare strumenti automatizzati per la scansione delle vulnerabilità e delle falle di sicurezza nel codice.
  • Implementare standard di codifica sicuri e fornire formazione agli sviluppatori.

6. Formazione e sensibilizzazione dei dipendenti

La formazione dei dipendenti sulle best practice di sicurezza e sulle potenziali minacce può ridurre il rischio di minacce interne e di attacchi di social engineering.

  • Condurre regolarmente corsi di formazione sulla sicurezza per tutti i dipendenti.
  • Simulare attacchi phishing per educare i dipendenti a riconoscere e segnalare le e-mail sospette.
  • Incoraggiare una cultura della sicurezza in cui i dipendenti si sentano responsabili della protezione delle risorse dell'organizzazione.

7. Pianificazione della risposta agli incidenti

Preparatevi a potenziali incidenti backdoor con un solido piano di risposta agli incidenti.

  • Sviluppare e aggiornare regolarmente un piano di risposta agli incidenti che includa procedure per individuare, isolare e rimuovere le backdoor.
  • Condurre esercitazioni periodiche e tabletop per garantire che la squadra di risposta sia preparata ad affrontare incidenti reali.
  • Stabilire protocolli di comunicazione per avvisare le parti interessate e coordinare gli sforzi di risposta.

Implementando queste strategie, i team SOC possono ridurre significativamente il rischio di installazione e sfruttamento di backdoor, migliorando così la postura di sicurezza complessiva dell'organizzazione.

Come può aiutare Vectra AI

Vectra AI eccelle nel rilevamento e nella mitigazione delle backdoor grazie a funzionalità avanzate di rilevamento e risposta alle minacce basate sull'intelligenza artificiale. Monitorando continuamente il traffico di rete e i comportamenti del sistema, Vectra AI identifica le attività insolite che possono indicare la presenza di una backdoor. La nostra piattaforma fornisce approfondimenti e risposte automatiche per neutralizzare rapidamente le minacce. Per vedere come Vectra AI può migliorare la vostra posizione di sicurezza, vi invitiamo a guardare una demo autoguidata della nostra piattaforma.

Altri fondamenti di cybersecurity

DOMANDE FREQUENTI

Che cos'è una backdoor nella sicurezza informatica?

Come vengono installate le backdoor?

Quali sono i rischi associati alle backdoor?

Come possono le organizzazioni rilevare le backdoor?

Quali sono le strategie efficaci per prevenire l'installazione di backdoor?

Le backdoor possono essere legittime e, in tal caso, come vengono gestite?

Come rispondono le organizzazioni a una backdoor rilevata?

Che ruolo ha la crittografia nella protezione dalle minacce backdoor?

Come cambia il panorama delle minacce con l'avvento dell'IoT e dei dispositivi intelligenti?

Quali sviluppi futuri sono attesi nella lotta contro le backdoor?