Perché l’attacco informatico a Ikea preoccupa gli esperti?

Nel fine settimana è stata resa nota la notizia di un un’insidiosa campagna di phishing che sta colpendo il gigante Ikea. A darne notizia è stato il sito BleepingComputer, che è riuscito a prendere visione di una mail inviata dall’azienda ai dipendenti per informarli dell’attacco in corso.

Ma per quale motivo quest’attacco preoccupa gli esperti? I dipendenti di Ikea sono stati presi di mira da una campagna di phishing che utilizza una tecnica estremamente insidiosa e nota come Stolen internal reply-chain emails. In questa tecnica gli attaccanti riescono a compromettere i server mail delle organizzazioni prese di mira e una volta dentro inviano mail di phishing ai dipendenti. I messaggi di phishing sono inviati in risposta a una precedente mail inviata dai dipendenti a loro colleghi. Si capisce che individuare questi attacchi è davvero complesso, in quanto la mail di phishing arriva da un collega o da una entità con la quale colloquiamo ed è una mail di risposta a un messaggio realmente inviato.

La metodica in uso è stata documentata di recente dall’azienda di sicurezza Trend Micro, i cui esperti hanno individuato campagne volte a compromettere server di posta Microsoft Exchange fruttando vulnerabilità note e tracciate come ProxyShell e ProxyLogon.

Questa tecnica consente di eludere i principali controlli implementati da molte aziende, inoltre l’accesso ai server di posta potrebbe consentire agli attaccanti di colpire anche clienti e partner commerciali: “Nelle mail interne visualizzate da BleepingComputer, Ikea avverte i dipendenti di un attacco informatico di phishing in corso a catena di risposta che prende di mira gli account di posta elettronica interni”, si legge su BleepingComputer.

Ancora: “C'è un attacco informatico in corso che prende di mira le mail di Ikea. Altre organizzazioni, fornitori e partner commerciali di Ikea sono esposte allo stesso attacco e stanno diffondendo ulteriormente mail dannose a persone in Ikea - si legge nelle mail inviate da Ikea ai dipendenti - Ciò significa che l'attacco può arrivare via mail da qualcuno con cui lavori, da qualsiasi organizzazione esterna e come risposta a conversazioni già in corso. È quindi difficile da rilevare, per cui vi chiediamo di essere più cauti”.

Il messaggio avverte i dipendenti e spiega che i messaggi fraudolenti sono difficili da distinguere perché hanno una fonte interna. I link contenuti nei messaggi di phishing terminano con 7 cifre, e cliccando su di essi si avvia un processo di infezione.

Ikea ha anche condiviso con i dipendenti un esempio di mail fraudolenta utilizzata nei recenti attacchi, invitando a segnalare tempestivamente ogni messaggio sospetto e a contattare il mittente su un canale diverso (la chat o il telefono) per informarlo della compromissione del suo account.

Questi messaggi potrebbero esser stati messi in quarantena dai sistemi di difesa, per questo motivo è stato impedito ai dipendenti di ripristinarli per evitare che possano incorrere nell’errata convinzione che il messaggio sia stato bloccato per errore.

Quale è la finalità dell’attacco a Ikea? Analizzando i link contenuti nelle mail che hanno preso di mira i dipendenti è stato possibile verificare che puntavano a un archivio chiamato Charts.zip contenente un documento Excel. Una volta aperto il documento e abilitate le macro incluse si avvia il processo di infezione mediante il trojan Qbot. Malware come Qbot sono utilizzati dalle gang criminali per accedere alle reti delle vittime e distribuire diverse famiglie di ransomware.

Possiamo quindi ritenere che l’obiettivo finale dell’attacco fosse l’installazione di un ransomware all’interno della rete di Ikea: "L'attacco a Ikea, secondo le informazioni disponibili al momento, può avere conseguenze anche nel medio e lungo termine – ha spiegato Marco Govoni, Ict & security consultant - Sembra siano stati compromessi alcuni account mail e da questi è partita l'attività di phishing interna. Il fatto che i criminali informatici siano quindi riusciti a impossessarsi delle identità di alcuni dipendenti del colosso svedese ha permesso loro di inviare mail che possono essere state ritenute legittime dai destinatari. Come aprire le porte di casa propria a un criminale, travestito e camuffato come il nostro migliore amico". Ancora: “L'aspetto che preoccupa di più sono i contatti che, presumibilmente, ci sono stati con fornitori e partner. Può diventare un classico schema di attacco alla supply chain, ma su una scala che al momento non è possibile definire”.

L’attacco deve mettere in allarme le organizzazioni, perché la metodica descritta è difficile da individuare e per evitare la compromissione delle infrastrutture aziendali è necessario che tutti i sistemi siano aggiornati.