Nel mondo della cybersecurity non è raro imbattersi in episodi paradossali, ma la vicenda recentemente raccontata da Huntress ha attirato un’attenzione particolare. L’azienda americana, specializzata in soluzioni di Endpoint Detection and Response (EDR), ha pubblicato una ricerca definita esilarante dagli stessi ricercatori.

Tutto è iniziato quando un attaccante, per motivi non del tutto chiari, ha installato sul proprio computer la versione trial del software EDR di Huntress. Una decisione bizzarra che ha avuto un effetto immediato. Tutte le sue attività sono infatti finite sotto osservazione da parte del team di sicurezza, in una sorta di paradosso digitale in cui il cacciatore è diventato la preda.

Un EDR come cavallo di Troia al contrario

Il caso ha un lato quasi comico. L’attaccante, convinto di potenziare la propria sicurezza, ha installato persino un’estensione premium di Malwarebytes per proteggere la navigazione online e, secondo i log analizzati, il criminale informatico ha scaricato l’EDR Huntress dopo aver cercato “Bitdefender” su Google e cliccato su un link sponsorizzato, finendo così in trappola.

Questa scelta ha permesso ai ricercatori di monitorare tre mesi di attività del malintenzionato, osservandone le tecniche, i tentativi di affinare il proprio arsenale e perfino gli strumenti di automazione e intelligenza artificiale utilizzati. Tra phishing kit, exploit e malware, Huntress ha così avuto una finestra senza precedenti sul lavoro quotidiano di un cybercriminale.

Uno degli aspetti più interessanti emersi dalla ricerca riguarda l’uso intensivo di Google Translate. L’attaccante, secondo i dati raccolti, sembrava avere una conoscenza base di lingue come il thailandese, lo spagnolo e il portoghese. Con l’aiuto della traduzione automatica convertiva regolarmente i messaggi in inglese, probabilmente per orchestrare campagne di phishing mirate al furto di credenziali bancarie.

assets3eb6f92aedf74f109c7b4b0897

Se da un lato molti difensori hanno apprezzato la trasparenza e l’originalità dello studio, dall’altro non sono mancati i dubbi. Horizon3.ai, attraverso il suo CEO Snehal Antani, si è chiesto se sia corretto che un’azienda privata monitori così a lungo un avversario senza informare immediatamente le autorità. La linea che separa la raccolta di intelligence dalla pratica, vietata, dell’“hack back” appare quantomai sottile.

Antani ha parlato di “deterrenza”, osservando che l’attaccante in questo caso non temeva più di essere scoperto, quanto piuttosto di essere esposto pubblicamente. Altri esperti di sicurezza hanno definito la pratica come una completa invasione della privacy, sottolineando anche quanto sia sorprendente la quantità di dati che un software EDR può raccogliere da un endpoint.

La difesa di Huntress

Di fronte alle critiche, Huntress ha pubblicato lo stesso giorno un chiarimento ufficiale. L’azienda ha spiegato che la metodologia impiegata non differisce da quella utilizzata da qualunque altro vendor EDR. Questi strumenti, per natura, hanno infatti una visibilità molto ampia sul sistema ospite e monitorano costantemente comportamenti sospetti.

Nel documento, Huntress ha anche ribadito che i propri obiettivi sono da un lato indagare e rispondere alle minacce, dall’altro condividere con la community informazioni utili a migliorare le difese globali. Secondo l’azienda, il caso era stato individuato mentre i ricercatori analizzavano una serie di alert relativi a malware in esecuzione sul computer dell’attaccante, già associato a precedenti attività malevole.

L’azienda ha dichiarato infine di aver valutato attentamente cosa rendere pubblico, garantendo il rispetto degli obblighi di privacy e condividendo soltanto dati che potessero avere valore informativo per la difesa. Il messaggio finale ha voluto sottolineare i principi guida di Huntress: trasparenza, educazione e, non da ultimo, la volontà di “distruggere gli hacker” rendendo pubbliche le loro tattiche.

(Immagine in apertura: Shutterstock)