Logic Bomb: la minaccia che attende di esplodere

Un pericolo invisibile pronto a scatenarsi al soddisfacimento di determinate condizioni.

Negli ultimi dieci anni si è assistito ad un’impennata evolutiva da parte delle minacce informatiche.
Tecniche sempre più sofisticate, mirate e subdole hanno fatto la loro comparsa sulla scena. Se virus e ransomware continuano ad essere i protagonisti indiscussi, un altro tipo di minaccia, meno visibile ma altrettanto insidiosa, merita attenzione: la bomba logica. Si tratta di un’autentica bomba a orologeria capace di rimanere latente per mesi, progettata per attivarsi al momento giusto e provocare danni devastanti.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è una Logic Bomb?
I rischi e conseguenze
Come funziona una Logic Bomb?
Tipi di Logic Bomb
Come ci si può difendere da un attacco basato su Logic Bomb?

Cos’è una Logic Bomb?

La Logic Bomb, in italiano Bomba Logica, è un tipo di attacco basato su un set di istruzioni segretamente inserito in un sistema o in un software.
Il significato del termine deriva dalla sua natura: una porzione di codice malevolo che “esplode” solo al soddisfacimento di determinate condizioni.
Nel momento in cui il suo trigger viene innestato, la bomba esegue il suo payload, che comporta una serie di conseguenze dannose verso il sistema in cui è installata.

Si spazia da eventi lievi, come rallentamenti e corruzione di file non importanti, sino a giungere al crash completo del sistema e alla perdita di tutti i dati memorizzati sullo stesso. Nel peggiore dei casi, una bomba logica può perfino paralizzare l’intera infrastruttura di rete dell’organizzazione che ne diviene vittima.

I rischi e conseguenze

La pericolosità di questa minaccia risiede tutta nell’elemento sorpresa, in quanto annidata all’interno di un altro software in esecuzione.
Infatti, non solo è difficile individuarne una nel sistema, ma non è nemmeno possibile prevederne la detonazione. La cosa è ulteriormente aggravata dalla difficoltà nel risalire all’arteficie. Questo perché l’intervallo di tempo che intercorre tra l’installazione di una bomba logica e la sua attivazione, offre agli attori malevoli il tempo necessario per coprire le loro tracce e sparire dai radar.
Le conseguenze di un attacco basato su bombe logiche hanno severe conseguenze sia per aziende e organizzazioni, che per utenti semplici. In linea generale, gli effetti possono essere i seguenti:

Corruzione e perdita di dati: la bomba logica ha il potenziale per distruggere e-mail, documenti, assets e registri aziendali critici. Nei casi più gravi, si può giungere anche al wipe completo degli hard drives allocati nei server dell’organizzazione.
Data breach: a seconda del payload presente nel suo software, una bomba logica è in grado di far trapelare i dati sensibili. Nella stragrande maggioranza dei casi si tratta di informazioni dei dipendenti, dei clienti associati all’azienda e contatti di recapito. Ciò rappresenta un furto di identità, che spalanca le porte a tattiche di ingegneria sociale per commettere ulteriori illeciti e in molti casi anche ripercussioni legali per chi ne è vittima.
Danno economico: a causa degli effetti della bomba logica, individui singoli e organizzazioni subiscono perdite finanziarie a causa di transazioni non autorizzate. Le aziende si ritrovano quindi operazioni commerciali interrotte e processi di recupero costosi.
Danno di immagine: la fuga di informazioni sensibili e l’interruzione dei flussi finanziari comportano anche un danno di immagine. Un’azienda che subisce un data breach è soggetta a perdere la fiducia dai parte dei consumatori e degli investitori, i quali tendono a non sentirsi tutelati da parte di chi dimostra negligenza in termini di sicurezza.
Danni da inattività produttiva: la fuga e/o la perdita di dati critici comporta un periodo di inattività. Ciò si traduce in scadenze non soddisfatte, interruzione della regolare fornitura di servizi e disagi per i propri clienti. Molto spesso questo è un danno da cui difficilmente ci si riprende, specialmente se si tratta di un’impresa molto piccola, in quanto è una reazione a catena che allontana i consumatori dal proprio prodotto.

C’è da dire che questi sono solo alcuni degli eventi che potrebbero insorgere da una situazione del genere.
Questo perché le bombe logiche possono essere sfruttate anche in altri modi e causare conseguenze anche peggiori.

Come funziona una Logic Bomb?

Il primo approccio all’attacco consiste nell’introduzione della bomba logica nel sistema bersaglio.
Ciò si realizza mediante alcune tecniche molto comuni. Si spazia dalle classiche campagne di phishing e malspam, sino ad una sua iniezione diretta attraverso un software genuino alterato dagli attori malevoli. Spesso e volentieri quest’ultima tecnica viene attuata con la distribuzione di un finto aggiornamento.

Nel momento in cui il codice malevolo è entrato nel sistema, questo si posiziona in modo tale da rimanere inosservato. Infatti, è prassi comune che questo sia camuffato da processo di sistema critico, in modo che continui ad essere eseguito regolarmente senza destare sospetti.

Al termine della sua installazione la bomba logica rimane inattiva, in attesa del fatidico trigger che la faccia esplodere. Questo altro non è che il soddisfacimento di determinate condizioni e viene definito attraverso parametri ben precisi. Tra i più comunemente osservati ci sono:

Una data e un orario prestabiliti;
Un determinato numero di accessi ad un server;
Il superamento di una soglia di risorse di sistema in uso;

La bomba logica riesce a monitorare tutto ciò, dopo aver ottenuto l’accesso al log di sistema, oppure sfruttando le interfacce API interne.

Nel momento in cui i parametri stabiliti sono soddisfatti, il trigger si attiva e la bomba esegue il suo payload. Quest’ultimo è solitamente programmato per eseguire una catena di azioni dannose, a seconda degli obiettivi stabiliti dagli attori malevoli.

Come spiegato nel paragrafo precedente, le azioni legate a questo sono molteplici e spaziano da danni lievi, a vere e proprie conseguenze nefaste. Comunemente il codice malevolo di una bomba logica provoca:

Cancellazione selettiva di file e database aziendali;
Modifica della configurazione di sistema;
Corruzione di determinati dati aziendali;
Interruzione arbitraria di processi di sistema critici;
Disattivazione delle misure di sicurezza;

Al termine dell’esecuzione del payload, il codice della bomba logica si autodistrugge, rendendo così quasi impossibile risalire all’identità dei suoi artefici. Tuttavia, è bene evidenziare che esistono altri tipi di bombe capaci di rimanere costantemente attive e di ripetersi. In tal modo l’azienda subisce danni con cadenza regolare e si vede innescate ulteriori routine malevole nei propri sistemi. Come detto in fase di introduzione, le conseguenze sono gravissime. Questo perché il recupero dei dati corrotti, o cancellati, richiede settimane di lavoro, ammesso che esista un backup degli stessi. A ciò si aggiungono i danni derivanti da inattività produttiva, a cui si sommano quelli economici e di immagine.

Tipi di Logic Bomb

Contrariamente a quanto si possa pensare, non esiste un singolo tipo di bomba logica, ma ve ne sono svariati. Ciascuno di questi possiede una logica e un funzionamento differente dagli altri. Questo perché gli attori malevoli le sfruttano per condurre una vasta gamma di attacchi informatici, a seconda dell’obiettivo preso di mira. Tra quelle maggiormente impiegate dai collettivi cybercriminali e attori malevoli singoli, si citano:

Time-Based Logic Bomb

Questo tipo di bomba logica si attiva in base a una data e un’ora specifica preimpostate dal suo creatore. Raggiunto il momento fatidico, il trigger si innesta e il suo payload è eseguito. Generalmente è programmata per auto-eliminarsi subito dopo l’attivazione, rendendo difficile la rilevazione post-attacco. È usata frequentemente per sabotaggi pianificati, spesso condotti direttamente da ex-dipendenti malintenzionati, che la innestano prima di lasciare l’azienda.

Event-Based Logic Bomb

Si tratta di una bomba logica che si innesca sul verificarsi di eventi specifici. L’attivazione dipende da un monitoraggio continuo delle condizioni del sistema, che rende la bomba persistente fino al raggiungimento dell’evento stabilito. Si tratta di una tipologia molto impiegata dai collettivi cybercriminali, che intendono colpire grosse organizzazioni e multinazionali. Spesso e volentieri il trigger viene impostato al momento in cui avviene il rilascio di un prodotto di grande portata mediatica.

Hybrid Logic Bomb

Sono bombe logiche che combinano sia i trigger basati sul tempo, che quelli basati sugli eventi. Ciò le rende capaci di attivarsi solo in un preciso momento al soddisfacimento di un evento prestabilito. La loro persistenza nel sistema è quasi massima, poiché rimangono latenti fino al momento in cui entrambe le condizioni non sono soddisfatte. Questo le rende adatte per attacchi mirati a causare danni devastanti su più sistemi aziendali in contemporanea.

Embedded Logic Bomb

Si tratta della tipologia di cui si è discusso principalmente in questo articolo. Integrate direttamente nel codice di software aziendale, o in aggiornamenti legittimi, queste rimangono dormienti fino a che l’applicazione stessa non è in esecuzione e raggiunge determinati stati operativi. Si tratta in assoluto della tipologia più difficile da rilevare, in virtù della loro integrazione nel codice di un software genuino. I danni derivanti includono il blocco generale delle operazioni e ingenti perdite economiche per l’azienda.

Self-Replicating Logic Bomb

Meno comune ma estremamente pericolosa, questa bomba logica è in grado di replicarsi in altri sistemi connessi alla rete.
Per far ciò, compromette l’infrastruttura di rete aziendale e si diffonde attraverso una serie di movimenti laterali. I suoi danni creano un effetto a catena potenzialmente fuori controllo, in quanto si sovrappongono il sovraccarico della rete, il blocco di servizi essenziali e la perdita massiva di dati.

Come ci si può difendere da un attacco basato su Logic Bomb?

Prevedere l’insorgenza di un attacco del genere, o individuare preventivamente una bomba logica nel proprio sistema, è pressoché impossibile.
Tuttavia, esistono una serie di accorgimenti da adottare per rafforzare la propria sicurezza e prevenire l’insorgenza di situazioni critiche come quelle descritte.

Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza
Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. In più ci si deve sempre accertare che la provenienza degli aggiornamenti sia sempre da parte di fonti ufficiali.
Adottare una soluzione di filtraggio e-mail efficace
Poiché molte bombe logiche sfruttano come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
Implementare un piano di monitoraggio degli endpoint affidabile
Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente
L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.
Effettuare un backup del database e dei propri servizi online
Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.
Usare l’autenticazione in più fattori
L’autenticazione in più fattori è in grado di fornire un ulteriore livello di protezione ai dati sensibili, ostacolando in tal modo i tentativi di attacco da parte degli attori malevoli.

In conclusione

La sicurezza informatica è una continua corsa contro il tempo. Le bombe logiche sono solo una delle molteplici minacce che si evolvono e si adattano ai nostri tempi. Ciò è l’ennesima dimostrazione di come le capacità dei cybercriminali siano sempre più sofisticate e subdole. Per questo motivo, è fondamentale che aziende, esperti del settore e utenti comuni mantengano una mentalità orientata alla prevenzione e all’aggiornamento costante. Prevenire e anticipare sono le armi principali contro minacce solo all’apparenza innocue, ma che possono costituire un rischio concreto se trascurate. Se vogliamo essere al sicuro da bombe a orologeria celate nel codice dei software d’uso giornaliero, allora dobbiamo adoperarci per mantenere alta la nostra guardia.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.