Evoluzione delle minacce informatiche nel secondo trimestre del 2017

Attacchi mirati e campagne malware

Ritorno al futuro: in cerca di un collegamento tra APT “vecchie” e nuove

Nel corso della Conferenza Security Analyst Summit (SAS), svoltasi nel mese di aprile, sono stati illustrati interessanti risultati ottenuti grazie a specifiche indagini e ricerche condotte riguardo a varie campagne malware basate sugli attacchi mirati.  Ad esempio, i ricercatori di Kaspersky Lab e del King’s College London hanno presentato i risultati da essi acquisiti in merito ad un possibile legame tra Moonlight Maze – un noto attacco di cyber-spionaggio risalente ad una ventina di anni fa, che aveva preso di mira, allora, il Pentagono, la NASA ed ulteriori target – e Turla, un “moderno” gruppo APT rivelatosi attivo di recente.

Gli attuali report stilati riguardo a Moonlight Maze evidenziano come, a partire dal 1996, all’interno delle reti informatiche appartenenti all’esercito e al governo statunitense, così come ad università, istituti di ricerca e persino al Dipartimento dell’Energia, fossero state rilevate intrusioni e violazioni da parte di hacker.  A tal proposito, nel 1998, l’FBI e il Dipartimento della Difesa degli Stati Uniti d’America lanciarono una massiccia indagine investigativa.  Tuttavia, nonostante la “storia” in questione fosse poi divenuta di pubblico dominio nel corso dell’anno successivo, gran parte delle prove raccolte è rimasta classificata, lasciando in tal modo i dettagli relativi alla campagna Moonlight Maze avvolti, per così dire, nel mito e nella segretezza.  Ad ogni caso, nel corso degli anni, diversi ricercatori hanno poi affermato che la minaccia Moonlight Maze si era evoluta, trasformandosi, di fatto, in Turla.

Nel 2016, effettuando specifiche ricerche nella fase di allestimento del proprio libro intitolato Rise of the Machines (che potremmo tradurre, in italiano, come “L’ascesa delle macchine”), Thomas Rid, del Kings College London, ha rintracciato un ex-amministratore di sistema, in precedenza all’opera presso un’organizzazione il cui server aziendale era stato sfruttato come proxy dai criminali di Moonlight Maze.  Il server in causa, “HRTest”, era stato effettivamente utilizzato per lanciare attacchi sul territorio degli Stati Uniti.  L’esperto di informatica, attualmente in pensione, aveva di fatto conservato il server originale ed apposite copie di tutto ciò che risultava correlato a tali attacchi; il materiale in questione è stato così consegnato al Kings College e a Kaspersky Lab, per la conduzione di ulteriori analisi.  I ricercatori di Kaspersky Lab, Juan Andres Guerrero-Saade e Costin Raiu, assieme a Thomas Rid e Danny Moore del Kings College di Londra, hanno quindi effettuato, nell’arco di nove mesi, un’accurata e dettagliata analisi tecnica dei sample ricevuti.  In pratica, sono state ricostruite le operazioni via via lanciate dagli aggressori; sono stati ugualmente esaminati gli strumenti e le tecniche dispiegati da questi ultimi.  È stata inoltre condotta, parallelamente, un’indagine volta a verificare se poteva essere comprovato il legame con Turla, come ventilato in precedenza.

Moonlight Maze si è rivelato essere un attacco informatico basato su codice open source Unix, preposto a colpire i sistemi operativi Solaris; i risultati ottenuti dai ricercatori hanno evidenziato come in tale campagna venisse fatto uso di una backdoor basata su LOKI2, un programma rilasciato nel 1996, il quale consente agli utenti di poter esfiltrare i dati tramite canali nascosti.  Questo ha indotto i ricercatori ad esaminare in dettaglio, una seconda volta, alcuni rari sample Linux utilizzati dal gruppo APT Turla, scoperti da Kaspersky Lab già nel 2014. Tali sample, denominati Penguin Turla, risultano ugualmente basati su LOKI2.  La nuova analisi effettuata ha inoltre messo in evidenza come gli stessi si avvalgano, tutti quanti, di codice creato tra il 1999 ed il 2004.

Incredibilmente, stiamo ancora assistendo, ai giorni nostri, alla conduzione di attacchi in cui viene fatto uso di questo specifico codice.  Quest’ultimo è stato ad esempio rilevato “in-the-wild” nel 2011, nell’ambito di un attacco informatico sferrato nei confronti della società elvetica Ruag, contractor del Ministero della Difesa svizzero – attacco che è stato attribuito al gruppo Turla.  In seguito, nel mese di marzo del 2017, i ricercatori di Kaspersky Lab hanno scoperto un nuovo sample della backdoor Penguin Turla, ottenuto attraverso un sistema informatico sottoposto ad attacco in Germania.  È possibile che Turla utilizzi il vecchio codice per portare attacchi nei confronti di potenziali vittime provviste di soluzioni IT in grado di garantire un elevato livello di sicurezza; compromettere sistemi informatici del genere potrebbe in effetti rivelarsi molto più difficile facendo uso di un toolset di attacco “standard”, basato su Windows.

I sample di Moonlight Maze scoperti di recente rivelano molti dettagli, particolarmente interessanti, riguardo alle modalità di conduzione degli attacchi: nell’ambito di questi ultimi si faceva ad esempio ricorso all’utilizzo di una complessa rete di proxy. Gli attaccanti, inoltre, hanno sempre dimostrato un elevato livello di competenza, abbinato, peraltro, all’impiego di strumenti decisamente sofisticati.

Quindi, Moonlight Maze si è davvero evoluto, trasformandosi poi in Turla?  Al momento attuale non possiamo ancora dirlo.  Lo step successivo si focalizzerà su un’operazione poco conosciuta, denominata “‘Storm Cloud”: si tratta, in pratica, dell’evoluzione del toolkit utilizzato dagli “operatori” della campagna Moonlight Maze, una volta che le intrusioni iniziali erano state rese di pubblico dominio, nel 1999.  La “storia” inerente a Storm Cloud è emersa nel 2003, suscitando tuttavia poco clamore.  Alcuni dettagli “prescienti” ci hanno ad ogni caso portato a credere che questo set, utilizzato per le intrusioni informatiche, potrebbe davvero fornire una risposta più definitiva.

Qui potete trovare informazioni dettagliate sulla ricerca condotta.

Svelati i segreti di Lazarus

Nel mese di febbraio del 2016, un gruppo di hacker (a quel momento non ancora identificato) tentava di realizzare il furto di una cifra colossale – 851 milioni di dollari –, riuscendo di fatto a trasferire ben 81 milioni di dollari dalla Banca Centrale del Bangladesh: si è trattato, di fatto, della cyber-rapina più ingente ed efficace mai messa in atto dai criminali informatici.  Le indagini effettuate da Kaspersky Lab ed altri hanno poi rivelato che tali attacchi erano stati quasi sicuramente condotti da Lazarus, noto gruppo APT specializzato in operazioni di cyber-spionaggio e cyber-sabotaggio, resosi tra l’altro responsabile del clamoroso attacco nei confronti di Sony Pictures, avvenuto nel 2014, così come di numerosi altri attacchi informatici – a partire dal 2009 – diretti a società manifatturiere, mass media e istituzioni finanziarie, in almeno 18 Paesi diversi, in tutto il mondo.

Sulla base delle indagini da noi condotte riguardo agli attacchi lanciati dal gruppo in questione nei confronti di istituzioni finanziarie situate nel Sud-Est Asiatico e in Europa, siamo stati in grado di fornire un quadro preciso del modus operandi del famigerato Lazarus Group.

In genere, l’attacco iniziale si verifica nel momento in cui viene compromesso un singolo sistema informatico all’interno di un istituto bancario: i cyber criminali, nella circostanza, violano un server aziendale, oppure predispongono un attacco di tipo watering-hole, collocando del codice nocivo, con funzione di exploit, su un sito web legittimo, normalmente visitato dal personale che opera presso l’organizzazione presa di mira.  Gli aggressori, in seguito, si muovono verso altri host facenti parte del network sottoposto ad attacco e “piazzano” una backdoor, piuttosto rudimentale, sui computer infetti.  Il gruppo in causa trascorre poi un considerevole lasso di tempo (vari giorni, o persino intere settimane) cercando di identificare le risorse di maggior “pregio” all’interno dell’organizzazione target.  Gli attaccanti, infine, implementano del malware speciale, dotato di caratteristiche ben specifiche, preposto a bypassare, in primo luogo, le infrastrutture di sicurezza interne, per poi compiere, in seguito, transazioni bancarie illecite.

Il gruppo Lazarus opera in tutto il mondo: in quest’ultimo anno, o giù di lì, abbiamo in effetti individuato in numerosi Paesi gli strumenti tipicamente utilizzati da Lazarus per infiltrarsi all’interno delle reti informatiche sottoposte ad attacco.

Lazarus presenta notevoli dimensioni; storicamente, tale gruppo APT si è concentrato, in particolar modo, su attività di cyber-spionaggio e cyber-sabotaggio.  L’interesse dimostrato dal gruppo nei confronti dei profitti di natura finanziaria risulta relativamente nuovo; sembra quasi che, all’interno di Lazarus, operi un team ben distinto, che mira a finalità diverse da quelle abituali, specializzato nel generare profitti illeciti: questo particolare team è stato da noi denominato Bluenoroff.  Abbiamo rilevato, sinora, quattro tipologie principali di target: istituti finanziari, casinò, società che sviluppano software destinati al trading finanziario, e società che conducono il proprio business nel campo delle cryptovalute.

Una delle campagne di maggior rilievo, tra quelle intraprese da Bluenoroff, ha riguardato una serie di attacchi diretti ad istituzioni finanziarie situate in Polonia.  Nella fattispecie, i cyber criminali sono riusciti a compromettere un sito web governativo al quale accedono, di frequente, numerosi istituti finanziari: tale sito è stato reso, a tutti gli effetti, un vettore di attacco particolarmente potente.

Il gruppo Lazarus, naturalmente, produce ogni possibile sforzo per nascondere le proprie tracce.  Uno dei nostri partner nelle attività di ricerca, tuttavia, ha fatto un’interessante scoperta, nel completare un’analisi forense relativa ad un server di Comando e Controllo (C2), ubicato in Europa, che veniva utilizzato dal gruppo in questione.  È emerso in tutta evidenza, in base al report stilato relativamente all’analisi forense svolta, come l’hacker si collegasse al server tramite Terminal Services ed avesse provveduto ad installare manualmente un server Apache Tomcat utilizzando un browser locale; è inoltre risultato che il server era stato configurato con Java Server Pages e che era stato effettuato l’upload dello script JSP per il C2.  Una volta allestito il server, il cyber criminale aveva poi iniziato a testare lo stesso, servendosi in primo luogo di un browser, e quindi eseguendo istanze di prova della relativa backdoor.  L’operatore utilizzava molteplici indirizzi IP, dalla Francia alla Corea, connettendosi tramite proxy e server VPN. È stato inoltre rilevato come fosse stato anche realizzato un collegamento di breve durata attraverso una gamma di indirizzi IP alquanto insolita, la cui origine è stata ricondotta alla Corea del Nord.  L’operatore aveva ugualmente provveduto ad installare un software off-the-shelf adibito al mining di cryptovaluta; tale programma avrebbe dovuto generare cryptomonete Monero.  Il software in causa, tuttavia, consumava le risorse di sistema in maniera talmente intensa al punto da far sì che il sistema stesso non rispondesse più, bloccandosi poi definitivamente.  Proprio questo potrebbe essere il motivo per cui la macchina non era stata adeguatamente “ripulita”, visto che essa custodiva ancora i log del server.  Il possibile collegamento con la Corea del Nord può risultare di particolare interesse; questo non significa, tuttavia, che si possa trarre la conclusione riguardo al fatto che dietro tutti gli attacchi Bluenoroff si trovi la Corea del Nord: in effetti qualcuno, in Corea del Nord, potrebbe aver visitato accidentalmente il server C2; oppure, potrebbe essersi trattato di una deliberata operazione di tipo false flag.

Lazarus, comunque, non è semplicemente “uno dei tanti” gruppi APT.  La vasta portata delle operazioni condotte dal Lazarus Group ha indubbiamente qualcosa di incredibile: pare, oltretutto, che Lazarus gestisca una sorta di fabbrica del malware, in grado di generare in tempi rapidi nuovi strumenti di attacco, non appena i “vecchi” tool vengono “bruciati”.  Il gruppo fa uso, inoltre, di varie tecniche di offuscamento del codice, riscrive i propri algoritmi, ricorre ad appositi meccanismi di protezione del software commerciale, e si avvale di packer propri o reperiti nell’underground.  In genere, durante la prima fase dell’infezione, il gruppo dispiega backdoor quasi rudimentali, le quali, anche se venissero “bruciate”, non provocherebbero particolari danni o contraccolpi al threat actor in questione.   Tuttavia, se la backdoor lanciata inizialmente segnala il diffondersi di un’infezione particolarmente “interessante”, Lazarus Group avvia la distribuzione di codice decisamente più avanzato, e cerca di adottare, in maniera davvero accurata, tutte le possibili misure atte a proteggere lo stesso nei confronti di eventuali rilevamenti accidentali a livello di disco: a tal proposito, il codice viene “avvolto” in un apposito loader DLL, oppure inserito in un contenitore criptato, o può essere addirittura nascosto in un valore di registro codificato in forma binaria.  Viene inoltre fatto uso di un installer che può essere utilizzato soltanto dagli aggressori, visto che esso viene protetto, da questi ultimi, tramite apposita password.  Ciò garantisce il fatto che i sistemi automatizzati, quali ad esempio una sandbox pubblica, o l’ambiente in cui opera un ricercatore, non potranno in pratica mai “vedere” l’effettivo payload esistente.  Un simile livello di sofisticazione è qualcosa che, in genere, non si trova comunemente nel mondo cyber criminale: esso richiede, di fatto, il dispiegamento di un’organizzazione particolarmente attenta, e l’effettuazione di rigorosi controlli durante tutte le fasi dell’operazione.  Tutto questo può facilmente spiegare il motivo per cui Lazarus estenda le proprie attività anche a complesse operazioni in grado di generare consistenti profitti illeciti: per condurre simili attività, di portata talmente vasta, occorrono indubbiamente cospicue somme di denaro.

La miglior difesa contro gli attacchi mirati è rappresentata da un approccio multilivello, che combini le tradizionali tecnologie anti-malware con la gestione delle patch, un sistema di rilevamento delle intrusioni basato su host ed una strategia di whitelisting, fondata sullo scenario default-deny.  Secondo uno studio condotto dall’Australian Signals Directorate, addirittura l’85% degli attacchi mirati oggetto di analisi può essere bloccato e neutralizzato mediante l’adozione congiunta di quattro semplici strategie di mitigazione: whitelisting delle applicazioni, aggiornamento delle applicazioni, aggiornamento dei sistemi operativi, restrizione dei privilegi di amministratore.

Il report completo stilato dagli esperti di Kaspersky Lab in merito alle attività condotte dal Lazarus Group può essere consultato al seguente link.

Quando vengono colpite le banche

Al Security Analyst Summit di quest’anno, due dei nostri ricercatori, Sergey Golovanov e Igor Soumenkov, hanno esaminato tre casi in cui i cyber criminali avevano effettuato il furto di denaro violando gli apparecchi bancomat.

Il primo di essi, ATMitch, si basava sul compromettere, inizialmente, l’infrastruttura della banca presa di mira, con il preciso scopo di controllare, in seguito, da remoto, il funzionamento dell’ATM (Automated Teller Machine).  Nella circostanza, gli attaccanti hanno sfruttato una vulnerabilità non ancora “patchata” per penetrare all’interno dei server dell’istituto bancario target.  Per infettare i computer appartenenti alla banca bersagliata, i cyber criminali hanno fatto uso di codice open source e di strumenti pubblicamente disponibili.  Tuttavia, il malware da essi creato risiedeva soltanto nella memoria, non sugli hard disk, e quasi tutte le tracce lasciate dal malware venivano rimosse al momento del riavvio del computer.  Una volta realizzata l’infezione, i criminali stabilivano una connessione con il proprio server C2; questo consentiva loro di poter installare da remoto il malware destinato agli apparecchi ATM.  Quest’ultimo appariva, a tutti gli effetti, in veste di aggiornamento legittimo, in modo tale da non suscitare alcun allarme all’interno della banca.  Dopo essere stato installato, il malware ricercava il file ‘command.txt’, contenente i comandi a singolo carattere in grado di controllare il funzionamento del bancomat.  Il malware in questione, ATMitch, invia innanzitutto un comando per scoprire quanto denaro risulta effettivamente custodito nell’apparecchio ATM, e in seguito trasmette un ulteriore comando per far sì che vengano erogate le banconote, poi raccolte sul posto da un apposito money mule (mulo del denaro), in furtiva attesa presso lo sportello bancomat.  Successivamente, il malware provvede alla scrittura di tutte le informazioni relative all’operazione nel file di registro, e rimuove infine ‘command.txt’ dall’hard disk dell’ATM.

Ciò che ha messo di fatto in allerta il personale della banca è stato un singolo file, denominato ‘kl.txt’.  Pensando che questo avesse qualcosa a che fare con Kaspersky Lab, la banca ci ha interpellato, chiedendoci di avviare un’indagine in merito.  Abbiamo così creato una regola YARA, allo scopo di ricercare il suddetto file nei nostri sistemi, ed abbiamo scoperto di esserci imbattuti su di esso in due diverse occasioni: una volta in Russia e una volta in Kazakhstan.  Questo ci ha permesso di effettuare il reverse engineering del malware, e di comprendere le modalità operative dell’attacco.

Allo stesso modo, anche le indagini relative ad un altro degli attacchi diretti agli istituti bancari, hanno avuto inizio con una richiesta pervenutaci dalla banca presa di mira.  Nel caso specifico, il denaro risultava mancante, ma i log dell’ATM erano, ancora una volta, vuoti; è stato inoltre rilevato come i cyber criminali avessero provveduto a registrare sopra al filmato della telecamera CCTV, in modo tale che non esisteva più, in pratica, l’eventuale registrazione visiva dell’attacco realizzato.  La banca ha consegnato l’apparecchio bancomat al nostro ufficio; dopo aver smontato il dispositivo ATM abbiamo scoperto l’esistenza, al suo interno, di un adattatore Bluetooth collegato all’hub USB del bancomat.  I criminali avevano quindi installato un adattatore Bluetooth sull’apparecchio ATM, ed avevano poi atteso per ben tre mesi la cancellazione del log.  In seguito, erano tornati allo sportello bancomat, avevano coperto le telecamere di sicurezza ed avevano poi utilizzato una tastiera Bluetooth per riavviare l’ATM in modalità servizio, svuotando infine il dispenser adibito all’erogazione dei contanti.

Anche un’ulteriore indagine, relativa ad un attacco riconducibile alla tipologia qui analizzata, ha avuto inizio nel momento in cui una banca ci ha chiesto di investigare su un furto realizzato ai danni di un apparecchio bancomat; l’attacco in questione si è rivelato essere ancor più “brutale” degli altri due sopra menzionati, per quel che riguarda l’approccio adottato dai cyber criminali.  Abbiamo in effetti trovato un foro, di circa 4 cm di diametro, realizzato nei pressi del PIN pad.  Non molto tempo dopo, abbiamo appreso che attacchi simili erano stati effettuati sia in Russia che in Europa.  Quando poi la polizia ha catturato una persona sospettata, provvista di computer portatile e di alcuni cavi, le cose sono immediatamente divenute più chiare.  Abbiamo smontato l’ATM, per cercare di scoprire a cosa l’hacker avrebbe potuto tentare di accedere attraverso il foro praticato.  Ciò che abbiamo trovato si è rivelato essere una basetta a 10 PIN, collegata ad un bus adibito a interconnettere tutti i componenti del dispositivo ATM; abbiamo inoltre rilevato un sistema di crittografia decisamente debole, che poteva essere “violato” in tempi molto rapidi.  Ogni singola parte dell’apparecchio bancomat poteva essere utilizzata per controllare tutte le altre; e poiché non era prevista alcuna procedura di autenticazione tra le varie componenti, ognuna di esse avrebbe potuto essere sostituita senza che le altre se ne “accorgessero”.  Abbiamo speso, complessivamente, circa 15 dollari, ed impiegato un po’ di tempo, per creare un semplice circuito stampato in grado di controllare – una volta collegato al bus seriale – il funzionamento dell’ATM, incluso il dispositivo di erogazione del denaro.

Trovare una soluzione a problematiche del genere, come hanno evidenziato i nostri ricercatori, non è di sicuro un compito particolarmente agevole.  L’operazione di patching richiede, in effetti, un aggiornamento dell’hardware, e non può essere quindi eseguita da remoto: in pratica, occorre la visita sul posto di un tecnico, che provveda alla relativa installazione su tutti gli apparecchi ATM interessati.

Maggiori informazioni riguardo agli incidenti qui sopra descritti sono disponibili qui.

Incontro ravvicinato con i Lamberts

Nello scorso mese di aprile, è stato da noi pubblicato un report riguardante un threat actor particolarmente avanzato e sofisticato, che, in termini di complessità, può senz’altro essere paragonato a Duqu, Equation, Regin o ProjectSauron.  Questo gruppo, da noi chiamato “The Lamberts” (noto, tuttavia, anche come “Longhorn”), ha per la prima volta attirato l’attenzione della community degli esperti di sicurezza IT nel 2014, quando i ricercatori di FireEye hanno scoperto un attacco in cui veniva fatto uso di una vulnerabilità 0-day (CVE-2014-4148).  Nell’ambito di tale attacco si faceva ricorso all’utilizzo del malware denominato, da parte nostra, ‘Black Lambert’, dispiegato per prendere di mira un’organizzazione di alto profilo situata in territorio europeo.

Il gruppo in questione ha sviluppato e utilizzato, nei confronti delle proprie vittime, almeno sin dal 2008, sofisticati strumenti di attacco, quali backdoor implementate a livello di rete, varie generazioni di backdoor modulari, tool adibiti alla raccolta dei dati e temibili programmi wiper.  Gli ultimi sample sono stati creati nel 2016.  Si conoscono, attualmente, versioni sia per Windows che per OS X. Tuttavia, vista la complessità di tali progetti, e l’esistenza di un impianto destinato al sistema operativo OS X, riteniamo possa essere altamente probabile l’esistenza di altri Lamberts per altre piattaforme, come ad esempio Linux.

White Lambert viene eseguito in modalità kernel ed intercetta il traffico di rete sulle macchine infette.  Esso provvede a decifrare determinati pacchetti creati in un formato speciale, allo scopo di estrarre le relative istruzioni.  Queste backdoor passive sono state da noi denominate ‘White Lambert’, in contrasto con ‘Black Lambert’, che definisce invece impianti malware di tipo attivo.

In seguito, siamo passati ad un’ulteriore generazione di malware, che abbiamo chiamato ‘Blue Lambert’.  Uno di questi sample appare particolarmente interessante, in quanto sembra che lo stesso sia stato utilizzato in qualità di malware nella seconda fase di un attacco di elevato profilo, nel quale risultava coinvolto anche il malware Black Lambert.

La famiglia di sample denominata ‘Green Lambert’ è, da parte sua, una versione più leggera ed “affidabile”, anche se più “vecchia”, di Blue Lambert.  È di particolare interesse rilevare il fatto che, mentre la maggior parte delle varianti di Blue Lambert presenta numeri di versione nel range 2.x, Green Lambert comprende, principalmente, versioni 3.x.  Questo appare in contrasto con i dati raccolti attraverso i timestamp esportati, e l’attività riscontrata nel dominio C2; tali elementi sembrano in effetti indicare che Green Lambert sia notevolmente più datato di Blue Lambert.  Forse entrambe le versioni, la Blue e la Green, sono state sviluppate in parallelo da due team distinti che lavorano, in pratica, sotto lo stesso “ombrello” – come normali iterazioni di versioni software, una delle quali è stata distribuita prima dell’altra.

Le firme create per Green Lambert (Windows) sono state anche attivate su una variante OS X dello stesso Green Lambert, con un numero di versione decisamente basso: 1.2.0.  Questa è stata di fatto caricata su un servizio multi-scanner, nel mese di settembre 2014.  La variante OS X di Green Lambert è sotto molti aspetti identica, dal punto di vista funzionale, alla versione per Windows; alcune funzionalità risultano tuttavia assenti, come ad esempio il fatto di eseguire i plugin direttamente nella memoria.

I rilevamenti effettuati da Kaspersky Lab riguardo alle versioni Blue, Black e Green del malware utilizzato dal threat actor denominato The Lamberts sono stati “innescati” tramite un gruppo di vittime relativamente contenuto, anche se distribuito in tutto il mondo.  Mentre stavamo conducendo le nostre indagini riguardo ad una delle infezioni in cui era stata rilevata la presenza di White Lambert (impianto malware implementato a livello di rete) e di Blue Lambert (impianto attivo), abbiamo individuato un’ulteriore famiglia di strumenti di attacco, che sembra essere correlata ai due toolkit qui sopra menzionati.  Questa nuova famiglia è stata da noi battezzata ‘Pink Lambert’.

Il toolset denominato Pink Lambert comprende un impianto di beaconing, un modulo USB per la raccolta dei dati e un framework orchestratore multi-piattaforma, che può essere utilizzato per creare malware indipendentemente dal tipo di sistema operativo.  Alcune versioni di questo singolare orchestrator sono state individuate in relazione ad altre vittime, assieme a dei sample di White Lambert; ciò indica, in maniera inequivocabile, una stretta correlazione tra le famiglie White e Pink Lambert.

Ricercando ulteriore malware non ancora rilevato, riguardo alle vittime di White Lambert, abbiamo individuato un’altra famiglia, anch’essa – a quanto pare – correlata.  La nuova famiglia, da noi chiamata ‘Gray Lambert’, rappresenta l’iterazione più recente degli strumenti di rete passivi che fanno parte dell’arsenale dei Lamberts.  Lo stile del codice utilizzato per Gray Lambert risulta simile a quello impiegato riguardo al modulo di raccolta USB di Pink Lambert.  Le funzionalità presenti, tuttavia, rispecchiano quelle possedute da White Lambert.  Se effettuiamo un debito confronto con White Lambert, vediamo come Gray Lambert venga eseguito in modalità utente, senza che si riveli necessario dover sfruttare un driver firmato vulnerabile allo scopo di poter caricare del codice arbitrario sui sistemi Windows a 64 bit.

Ricostruendo i collegamenti esistenti tra tutte queste famiglie diverse tra loro – il codice condiviso, i formati dei dati, il server C2, e le vittime prese di mira – abbiamo potuto tracciare il seguente quadro complessivo:

Lo sviluppo del toolkit The Lamberts abbraccia un arco di tempo di vari anni; la maggior parte delle attività ha avuto tuttavia luogo negli anni 2013 e 2014.

Nel complesso, il toolkit evidenzia la presenza di malware altamente sofisticato, basato su tecniche di alto livello, appositamente progettato per “sniffare” il traffico di rete, eseguire plugin nella memoria senza andare ad interessare il disco, e senza far uso di exploit destinati a driver provvisti di firma, con il preciso intento di lanciare l’esecuzione di codice non firmato sui sistemi Windows a 64 bit.

Per fornire un ulteriore esempio della notevole abilità e dell’elevata competenza in possesso degli attaccanti che si celano dietro al temibile toolkit The Lamberts, sottolineiamo come l’implementazione di Black Lambert comprendesse un exploit zero-day TTF assai sofisticato, CVE-2014-4148.  Tenendo conto di tutto ciò, possiamo indubbiamente classificare The Lamberts allo stesso livello di complessità di Duqu, Equation, Regin o ProjectSauron: si tratta, sicuramente, di uno dei più sofisticati toolkit di cyber-spionaggio che abbiamo mai analizzato.

Nella stragrande maggioranza dei casi, il metodo adottato dai criminali per realizzare l’infezione informatica risulta sconosciuto; permangono ancora, quindi, molti dettagli non noti riguardo a tali attacchi e al gruppo (ai gruppi) che ne fa (fanno) uso.

Ulteriori informazioni su The Lamberts sono disponibili qui.

L’unico modo efficace per poter fronteggiare simili minacce è costituito dall’implementazione di molteplici livelli di sicurezza, con l’impiego di sensori in grado di monitorare anche la più lieve anomalia nel normale flusso di lavoro dell’organizzazione; tutto questo deve essere abbinato a specifiche metodologie di threat intelligence, e a tempestive analisi forensi.

Da parte nostra, continueremo a monitorare attentamente le attività condotte da The Lamberts, così come quelle svolte da altri gruppi specializzati negli attacchi informatici mirati.  Abbonandosi al nostro servizio APT Intelligence Reporting, è possibile ottenere l’accesso alle indagini da noi condotte e alle scoperte effettuate dai nostri esperti man mano che esse si producono; questo fornisce, inoltre, l’opportunità di poter visionare dati tecnici completi.

Le “storie” di sicurezza IT più significative del trimestre

Le cose più vulnerabili dell’Internet delle Cose

Gli hacker stanno prendendo sempre più di mira i dispositivi che compongono il già vasto mondo dell’Internet of Things (IoT).  In tal senso, uno degli esempi più eclatanti è rappresentato dalla botnet Mirai, la quale, nel mese di ottobre 2016, ha messo in pratica fuori uso una significativa porzione di Internet, effettuando l’hijacking di una miriade di dispositivi domestici connessi (quali apparecchi DVR, telecamere CCTV e stampanti).

Nelle nostre previsioni per l’anno 2017 avevamo ben sottolineato il fatto che i cosiddetti hacker “vigilanti” avrebbero anche potuto prendere di mira i dispositivi IoT, allo scopo di attirare l’attenzione sull’evidente e deprecabile mancanza di sicurezza in alcuni dispositivi connessi – spingendosi addirittura sino al punto di creare una sorta di “Internet dei Mattoni”.  In alcuni report pubblicati di recente, tra l’altro, (vedi qui e qui), si è evidenziato come vi sia, in effetti, del malware IoT progettato proprio per tali fini.

In Aprile, abbiamo pubblicato i risultati di un’analisi condotta riguardo alla botnet Hajime.  Questo malware, del quale è stato riferito per la prima volta nel mese di ottobre 2016, da Rapidity Networks, infetta i dispositivi IoT non sicuri, che presentano porte Telnet aperte e fanno uso di password di default.  Hajime è, di fatto, un’enorme botnet “peer-to-peer”, la quale, nel momento in cui è stato pubblicato il nostro report (25 aprile), comprendeva circa 300.000 dispositivi.  Questo malware è in continua evoluzione: vengono in effetti sempre aggiunte, o rimosse, varie funzionalità.  L’aspetto più interessante, quasi “intrigante”, di Hajime è di certo costituito dalle effettive finalità per cui lo stesso è stato progettato. Le dimensioni della botnet stanno crescendo; questo è dovuto, almeno in parte, all’impiego di nuovi moduli di gestione e sfruttamento: gli scopi che tale botnet si prefigge di ottenere, tuttavia, rimangono ancora sconosciuti.  Sinora, ad ogni caso, la botnet Hajime non è stata utilizzata per compiere attività dannose.  È addirittura possibile che questo non accada mai, in quanto ogni volta che viene scaricato un nuovo file di configurazione, nel momento in cui viene effettuata la nuova procedura di configurazione, compare un testo specifico:

Dall’altro lato, anche se non viene utilizzata per arrecare deliberatamente dei danni, una simile botnet potrebbe influire negativamente sul normale funzionamento di un dispositivo infetto, compromettendone l’operatività.

Hajime, al pari di altri malware appositamente progettati per compromettere i dispositivi IoT, sfrutta ampiamente il fatto che molte persone, quando acquistano un dispositivo “intelligente”, non cambiano le credenziali di default del produttore. Questo rende agevole l’accesso al dispositivo da parte di eventuali hacker, i quali non hanno da far altro se non provare la password di default conosciuta.  Inoltre non esistono, per molti dispositivi, gli aggiornamenti del firmware.  I dispositivi IoT rappresentano, per i cyber criminali, un bersaglio particolarmente attraente anche perché, spesso, sono provvisti di connettività 24/7.

Al giorno d’oggi, siamo sempre di più circondati da dispositivi “intelligenti”.  È ormai “smart” un numero crescente di oggetti domestici di uso quotidiano: telefoni, televisori, termostati, frigoriferi, baby monitor, braccialetti fitness, persino i giocattoli per bambini.  Fanno inoltre parte di tale categoria anche le auto, le apparecchiature mediche, le telecamere CCTV ed i parchimetri.  Adesso, possiamo aggiungere al già lungo elenco anche i droni.

Nel corso della Conferenza Security Analyst Summit, l’esperto di sicurezza Jonathan Andersson ha dimostrato come un cyber criminale particolarmente abile ed esperto, in possesso di elevate capacità, potrebbe agevolmente creare un dispositivo in grado di hackerare e quindi dirottare un drone nel giro di pochi secondi.  Egli ha utilizzato una software-defined radio (SDR), un’unità di controllo per droni, un microcomputer, e qualche altra apparecchiatura elettronica, per realizzare tale dispositivo, che poi ha chiamato “Icarus”.  L’esperto di sicurezza ha fatto uso del dispositivo in questione per sintonizzarsi sulla specifica frequenza utilizzata dal drone per comunicare con il proprio controller, ed ha poi effettuato vari esperimenti, finché non ha potuto determinare con esattezza le modalità di trasmissione dei segnali tra i dispositivi.

Andersson ha spiegato che, potenzialmente, questo genere di minaccia può influenzare l’intera industria dei droni — dai semplici giocattoli, dal costo contenuto, alle attrezzature professionali, decisamente costose — in quanto i droni e le unità di controllo utilizzano dei protocolli di trasferimento dati che si rivelano vulnerabili a questa specifica tipologia di attacco.  L’utilizzo di un sistema crittografico più solido ed efficace potrebbe risolvere il problema; tuttavia, una soluzione del genere non è di facile applicazione, in quanto molti controller non supportano gli aggiornamenti software.  L’impiego di una crittografia particolarmente solida richiede, inoltre, notevoli capacità di calcolo; questo genera, ovviamente, un consumo energetico aggiuntivo, sia da parte dell’unità di comando che del drone.

Il fatto di poter hackerare i droni può ancora apparire come qualcosa di inverosimile ed improbabile, ma l’utilizzo di tali “velivoli” non rappresenta più, ormai, una semplice attività di nicchia. Basti pensare che, nello scorso mese di dicembre, Amazon ha testato l’utilizzo dei droni per effettuare la consegna dei propri pacchi.

Qui potete trovare una breve panoramica, tracciata dai nostri esperti, riguardo alle crescenti minacce dirette ai dispositivi IoT, così come utili consigli e raccomandazioni sulle misure da adottare per proteggersi al meglio nei confronti del malware IoT.

Ransomware: dalla “semplice” estorsione al “complicato” ExPetr

La seria minaccia derivante dal propagarsi del ransomware continua ad assumere proporzioni sempre maggiori.  Tra il mese di aprile 2016 e il mese di marzo 2017, abbiamo bloccato temibili programmi ransomware sui computer di ben 2.581.026 utenti dei prodotti Kaspersky Lab.  Questo equivale, in pratica, ad un aumento dell’11,4 percento rispetto ai 12 mesi precedenti.  Il report completo sull’evoluzione del ransomware nel periodo 2016-17, stilato dai nostri esperti, è disponibile al seguente link; illustreremo tuttavia, qui di seguito, alcune delle tendenze chiave che si sono manifestate durante tale periodo.

• Il modello che alimenta le pratiche estorsive realizzate dai cyber criminali è destinato a permanere; stiamo tra l’altro assistendo ad un crescente livello di competizione tra le varie gang di criminali informatici specializzate nel ransomware. Queste ultime stanno ormai prendendo di mira anche Paesi che in precedenza non erano stati colpiti, Paesi dove, tra l’altro, gli utenti sembrano essere meno preparati ad affrontare una simile minaccia.
• Stiamo osservando la conduzione di attacchi ransomware sempre più mirati; tale circostanza trova una logica ed immediata spiegazione nel fatto che gli attacchi nei confronti di società, imprese ed organizzazioni si rivelano essere, per i cyber criminali, ancor più redditizi.
• Il ransomware sta crescendo in termini di sofisticatezza e varietà, ed offre un elevato numero di soluzioni pronte all’uso anche a coloro che dispongono di minori “competenze”, risorse o tempo: tutto questo si realizza attraverso un ecosistema underground in decisa crescita, e che appare, inoltre, sempre più efficiente.
• La realizzazione di specifiche infrastrutture “criminal-to-criminal” sta indubbiamente alimentando il sorgere e lo svilupparsi di strumenti ad hoc, di facile utilizzo, attraverso i quali possono essere condotti attacchi mirati, ed essere quindi estorte cospicue somme di denaro; una simile situazione, di fatto, conferisce una caratteristica di maggiore “estensione” agli attacchi.
• Continueranno a rafforzarsi ed acquisire sempre maggiore slancio determinate iniziative globali, quali No More Ransom, volte a proteggere gli utenti nei confronti dei temibili crypto-ransomware.

Nello scorso mese di maggio abbiamo assistito al propagarsi della più estesa epidemia di ransomware della storia, sinistramente denominata WannaCry.  Il maggior numero di attacchi si è verificato in Russia; sono state tuttavia riscontrate vittime anche in Ucraina, India, Taiwan, e in molti altri Paesi; in totale, sono stati colpiti ben 74 Paesi.  Il malware si è diffuso molto rapidamente; in un solo giorno sono state registrate più di 45.000 infezioni (Europol ha stimato, in seguito, che sono rimaste vittima di WannaCry oltre 200.000 persone).

Il ransomware WannaCry si è propagato avvalendosi di un exploit Windows denominato “EternalBlue”, che si basa su una vulnerabilità già “patchata” da Microsoft attraverso l’aggiornamento di sicurezza MS17-010.  L’update di Microsoft era stato rilasciato lo scorso 14 marzo, un mese prima che l’exploit EternalBlue fosse reso disponibile per mezzo della nota fuga di dati messa in atto da “Shadow Brokers”.  Tuttavia, numerose organizzazioni non avevano ancora provveduto a patchare i loro sistemi; questo ha consentito ai criminali di ottenere l’accesso remoto ai sistemi informatici aziendali.  Il famigerato malware in questione si è così diffuso su altri computer presenti in rete, ancora privi della necessaria patch.

Così come fanno abitualmente altri cryptor, anche WannaCry provvede a cifrare i file custoditi sul computer infetto, e poi richiede all’utente-vittima il pagamento di un riscatto per poter procedere alle eventuali operazioni di decodifica.

Inizialmente, i cyber criminali richiedevano il pagamento di una somma pari a 300 dollari, cifra che in seguito è raddoppiata, fino a 600 $, con il progressivo svilupparsi dell’epidemia informatica.  Per assicurarsi che le vittime non “mancassero” la visualizzazione dell’apposita notifica di allerta, il malware provvedeva a cambiare lo sfondo dello schermo del computer preso di mira e forniva istruzioni su come reperire il tool di decodifica abbinato al malware.

Le ricerche e le indagini da noi effettuate hanno messo chiaramente in evidenza come il codice di cui si compone WannaCry sia, di fatto, di scarsa qualità; coloro che hanno sviluppato tale ransomware hanno tra l’altro commesso numerosi errori, consentendo in tal modo a molti utenti, tra quelli colpiti dall’infezione, di recuperare i dati criptati.  Inoltre, il modo in cui i cyber criminali hanno gestito le modalità di pagamento del riscatto ha limitato, per questi ultimi, la possibilità di capitalizzare al massimo l’ampia diffusione del worm.  Sono stati tra l’altro effettuati molteplici tentativi per tenere traccia delle transazioni realizzate verso i wallet Bitcoin utilizzati dagli attaccanti.  Nonostante le stime riguardo alla possibile somma complessivamente raccolta dai cyber criminali varino in maniera considerevole, possiamo affermare che tale cifra sia piuttosto prossima alle decine di migliaia, anziché alle centinaia di migliaia di dollari.

La timeline relativa agli attacchi eseguiti nel corso della prima settimana di diffusione di tale ransomware evidenzia chiaramente l’impatto degli sforzi profusi a livello di cyber-security per combattere la minaccia.

In tal senso, un elemento di notevole importanza si è rivelato essere la scoperta di una sorta di “kill-switch”.  È in pratica emerso che, attraverso la parte iniziale del codice, viene effettuato uno specifico controllo.  Il malware, in effetti, cerca di stabilire la connessione con un sito web hard-coded: se il collegamento fallisce l’attacco continua, se invece tale connessione viene realizzata, il codice termina la propria esecuzione.  Di fatto, registrando tale dominio, e puntando lo stesso su un server adibito al sinkholing, un ricercatore britannico è riuscito a rallentare il processo di diffusione dell’infezione generata dal worm.

Pochi giorni dopo l’inizio dell’epidemia informatica, Neel Mehta, ricercatore all’opera presso Google, ha postato un misterioso e criptico tweet, utilizzando l’hashtag #WannaCryptAttribution, in cui si intendeva far riferimento alla somiglianza esistente tra due sample di codice.  Il primo era un sample di WannaCry risalente al mese di febbraio 2017, che sembrava essere una prima variante del worm.  L’altro, invece, era un sample di Lazarus, ugualmente datato Febbraio 2017.  Kaspersky Lab, ed altri ancora, hanno poi confermato la similarità ventilata dal ricercatore di Google.  È comunque ancora troppo presto per affermare con certezza che WannaCry sia stato di fatto opera del famigerato gruppo Lazarus; si rivelano in effetti necessarie ulteriori ricerche, al fine di stabilire se è possibile ricomporre il puzzle.

Potete consultare il nostro blog post iniziale al seguente link; qui trovate, invece, le nostre FAQ, mentre qui è disponibile un report in cui vengono da noi messi a confronto i sample di WannaCry e Lazarus.

Verso la fine di giugno sono poi comparsi specifici report riguardo ad una nuova ondata di attacchi ransomware.  Il nuovo malware, da noi denominato ExPetr (ma ugualmente conosciuto con altri appellativi, quali Petya, Petrwrap e NotPetya), ha principalmente preso di mira società situate in Ucraina, Russia e in Europa, per un totale complessivo di circa 2.000 target bersagliati.

ExPetr si avvale di una versione modificata dell’exploit EternalBlue, così come di un altro exploit, reso di pubblico dominio da Shadow Brokers, chiamato “EternalRomance”.  Il malware è stato diffuso sia nella veste fasulla di update per MeDoc – un’applicazione ucraina utilizzata in ambito contabile – sia attraverso attacchi di tipo watering-hole.  Una volta penetrato all’interno dell’organizzazione target, il ransomware in questione utilizza dei tool personalizzati, fatti “su misura”, per estrarre le credenziali dal processo ‘lsass.exe’, e trasferisce poi le stesse ai tool PsExec o WMIC, per l’ulteriore distribuzione all’interno della rete.

Il malware attende da 10 minuti ad un’ora prima di riavviare il computer, e poi inizia a codificare l’MFT (Master File Table) nelle partizioni NTFS, sovrascrivendo l’MBR (Master Boot Record) con un loader “personalizzato”, contenente una richiesta di pagamento del riscatto.

ExPetr, quindi, cifra i file e, al tempo stesso, codifica l’MFT.  I cyber criminali hanno richiesto 300 dollari in Bitcoin per ottenere la chiave necessaria per decodificare i dati criptati dal ransomware, cifra pagabile attraverso un account Bitcoin unificato.  In linea di principio – e diversamente da quanto avvenuto con WannaCry – questa tecnica avrebbe potuto funzionare, perché i cyber criminali hanno richiesto alle proprie vittime di inviare i loro numeri di wallet, tramite e-mail, all’indirizzo ‘[email protected]’, confermando in tal modo la transazione eseguita.  Tuttavia, questo account di posta elettronica è stato rapidamente disattivato, limitando così l’ampiezza del campo d’azione di cui si servivano i criminali per cercare di realizzare profitti illeciti.

A seguito di un’ulteriore analisi condotta riguardo alla routine di crittografia, siamo giunti alla conclusione, così come altri ricercatori, che non è possibile, per gli attaccanti, decodificare i dischi delle vittime, anche se il pagamento è stato effettuato.  Tale elemento suggerisce il fatto che ExPetr sia piuttosto un wiper, mascherato da ransomware.  È stato persino ipotizzato che potrebbe esserci un collegamento tra ExPetr ed il ransomware KillDisk dell’APT BlackEnergy, risalente al 2015 e al 2016.

ExPetr non si è rivelato essere l’unico ransomware ad essere distribuito, lo scorso 27 giugno, attraverso aggiornamenti fasulli destinati all’applicazione MeDoc.  In effetti, agli utenti del programma MeDoc è stato contemporaneamente recapitato un altro ransomware, che abbiamo chiamato FakeCry.  I dati di cui disponiamo indicano che ben 90 diverse organizzazioni, quasi tutte situate in territorio ucraino, si sono viste recapitare tale malware.

L’interfaccia e i messaggi appaiono molto simili a quelli di WannaCry; si tratta, tuttavia, di una famiglia di malware del tutto differente.  Riteniamo, da parte nostra, che FakeCry sia stato effettivamente progettato e sviluppato con il preciso intento di generare dei false flag.  Uno degli elementi di maggior interesse consiste nell’appurare se FakeCry ed ExPetr siano correlati tra loro, come sembra suggerire il fatto che entrambi siano stati distribuiti contemporaneamente, attraverso gli “update” per l’applicazione MeDoc.

Desideriamo fornire, qui di seguito, alcuni utili consigli e raccomandazioni riguardo alle misure da adottare per proteggersi nei confronti degli attacchi ransomware:

• Installare ed implementare una solida suite anti-malware, che incorpori una specifica protezione anti-ransomware (quale, ad esempio, System Watcher di Kaspersky Lab).
• Applicare tempestivamente gli aggiornamenti di sicurezza rilasciati per il vostro sistema operativo e le vostre applicazioni, non appena gli stessi vengono resi disponibili.
• Non aprire mai allegati, o cliccare su link provenienti da fonti non attendibili.
• Effettuare il backup dei dati sensibili su uno storage esterno e custodire gli stessi offline.
• Non procedere mai al pagamento del riscatto. In effetti, questo non soltanto alimenterebbe la successiva ondata di attacchi ransomware, ma, allo stesso tempo, non vi è alcuna garanzia del fatto che i cybe rcriminali procedano, in seguito, al ripristino dei vostri dati.