Sicurezza informatica: risorse per chi la difende

A proposito di sicurezza informatica

1. Come usare il campo Message-ID per difendersi dal phishing
2. Come usare un motore di ricerca per la sicurezza informatica
3. Quanto è pericolosa la Corea del Nord per la sicurezza informatica
4. Come agiscono le gang del ransomware: l’esempio di EvilCorp
5. Come gli hacker criminali imparano da quelli a livello governativo

1. Come usare il campo Message-ID per difendersi dal phishing

Il campo Message-ID nell’intestazione di un’e-mail è un identificatore univoco che i server di posta elettronica utilizzano per fornire una sorta di impronta digitale di ogni messaggio di posta inviato. I Message-ID sono racchiusi fra parentesi angolari, come in: <[email protected]>. Due e-mail non possono mai avere lo stesso ID; anche una risposta a una e-mail avrà il suo specifico ID.

Il campo Message-IDpuò aiutare a dimostrare la validità di un’e-mail. Se troviamo più e-mail con lo stesso Message-ID, è praticamente certo che siano contraffatte; molto semplicemente, i meccanismi che trasferiscono i messaggi dal mittente al destinatario impediscono per loro natura che ciò possa accadere. A volte, tuttavia, un malintenzionato crea manualmente un’e-mail di phishing riutilizzando l’intestazione di un’altra e-mail. Lo possono fare per far sembrare che il destinatario dell’e-mail fraudolenta abbia già inoltrato o risposto all’e-mail. Ma così facendo, riutilizzano anche il Message-ID di un’altra e-mail.

Per vedere come funziona la cosa, osserviamo le seguenti due intestazioni di e-mail utilizzate da hacker in una campagna di spionaggio:

Intestazione dell’e-mail di phishing 1

>Return-Path: <[email protected]>/brReceived: from msr20.hinet.net (msr20.hinet.net [168.95.4.120]) by mx.google.com with ESMTP id 7si8630244iwn.16.2010.03.22.02.17.22; Mon, 22 Mar 2010 02:17:24 -0700 (PDT)/brReceived-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 168.95.4.120 as permitted sender) client-ip=168.95.4.120;/brAuthentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning [email protected] does not designate 168.95.4.120 as permitted sender) [email protected]/brReceived: from REDACTED (www.REDACTED.tw [211.22.16.234]) by msr20.hinet.net (8.9.3/8.9.3) with ESMTP id RAA28477; Mon, 22 Mar 2010 17:16:22 +0800 (CST)/brDate: Mon, 22 Mar 2010 17:16:22 +0800 (CST)/brFrom: [email protected]/br<strong class=" numeri"="">➊ Message-ID:<1975e5623c$23fce32a$0ae1d8b4@Gibbons212af2ce2>/brSubject: =?gb2312?B?x+u087zSubLNrLnY16KjoQ==?= <[email protected]>/brMIME-Version: 1.0/brX-MSMail-Priority: Normal/brX-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

Intestazione dell’e-mail di phishing 2

>Received: from REDACTED.co.kr (HELO REDACTED.co.kr) (211.239.118.134) by REDACTED/brReceived: from techdm ([218.234.32.224]:4032) by mta-101.dothome.co.kr with [XMail 1.22 PassKorea090507 ESMTP Server] ... Wed, 30 Jun 2010 23:21:06 +0900/br<strong class=" numeri"="">➋ Message-ID: <1975e5623c$23fce32a$0ae1d8b4@techdm212af2ce2>/brFrom: xxxxx/brTo: XXXXXXXXXXXXXXX/brSubject: =?big5?B?MjAyMLDqqL6s7KfesqO3frWmsqS9177CrKGwyg==?=/brDate: Wed, 30 Jun 2010 22:07:21 +0800/brMIME-Version: 1.0/brContent-Type: multipart/mixed; boundary="----=_NextPart_000_000B_01CB18A0.9EBCFA10"/brX-Priority: 3/brX-MSMail-Priority: Normal/brX-Mailer: Microsoft Outlook Express 6.00.2900.3138/brX-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579/brContent-Disposition: form-data; name=”Invitation”; filename=” Invitation.pdf”

Le e-mail hanno date e oggetti differenti ma lo stesso Message-ID ➊ ➋. A quanto pare, gli hacker hanno utilizzato questo Message-ID per tutte le loro e-mail di spear-phishing per circa un anno, probabilmente a causa di un qualche tipo di sistema automatico che creava o inviava i messaggi di spear-phishing. Un altro motivo meno probabile ma ancora possibile potrebbe essere che hanno semplicemente copiato e incollato le stesse informazioni in ogni e-mail di phishing che hanno creato. Indipendentemente da ciò, il Message-ID è stato un ottimo modo non solo per identificare l’e-mail come fraudolenta, ma anche perché ha contribuito a ricollegare queste e-mail a questo specifico aggressore.

Leggi anche: La cybersecurity in 5 lezioni di attualità

È altamente improbabile che i destinatari delle e-mail di spear-phishing siano in grado di individuare dettagli come questo. Tuttavia, in qualità di responsabile dei sistemi di difesa, se monitorate nel tempo gli attributi delle e-mail sospette controllando il Message-ID, potremo identificare questi attributi e utilizzarli per difenderci dai successivi attacchi.

Torna all’inizio.

2. Come usare un motore di ricerca per la sicurezza informatica

I motori di ricerca sono uno degli strumenti più potenti e sottoutilizzati a disposizione degli analisti. Sono un’ottima fonte di informazioni pubblicamente disponibili, in particolare nel campo della ricerca informatica. Per esempio, i motori di ricerca possono essere utili nella ricerca di infrastrutture e record di hosting associati a ciascun sistema che scoprite. Possono anche fornire informazioni sul malware e su come viene utilizzato. Possiamo usarli per trovare blog di analisi e ricerca, rapporti di altri ricercatori o persino dettagli sulle attività passate di hacker di livello avanzato.

Formulazione delle ricerche

La maggior parte dei motori di ricerca, come Google, offre alcuni operatori per le ricerche, i quali vi consentono di eseguire ricerche avanzate in grado di identificare tipi specifici di informazioni, come i sottodomini associati a un’infrastruttura di hacker noti. Per esempio, nella Figura 7.5 l’operatore site permette di cercare qualsiasi risultato esclusivamente dal sito web specificato.

Utilizzo di un operatore di ricerca in Google.

Ci sono però alcune limitazioni nell’uso di questo metodo. Innanzitutto, se l’amministratore del sito web ha configurato la clausola noindex, queste pagine non verranno rilevate e incluse nei risultati. In secondo luogo, se i domini sono stati creati di recente e non sono ancora stati sottoposti a scansione, non compariranno ancora nei risultati della ricerca. Tuttavia, sono necessari solo pochi secondi per eseguire questa ricerca e spesso essa fornisce risultati utili.

Per ulteriori informazioni sugli operatori di ricerca di Google, proviamo a eseguire il comando site:.com and "google" AND "hacks" OR "dorks" per trovare tutti i siti web che terminano con .com e che includono i termini google hacks o google dorks. Otterremo molti siti web che forniscono informazioni su questo argomento. Va provato!

Esempio d’uso di un operatore di ricerca di Google.

Ricerca di parti di codice su NerdyData

Quando gli hacker violano un sito web, di solito alterano il codice sorgente della pagina, magari solo per reindirizzare i visitatori altrove. In questi casi, possiamo utilizzare la parte modificata del codice sorgente per identificare altre pagine web che contengono lo stesso codice, cosa particolarmente utile se stiamo cercando informazioni su un attacco in corso.

I motori di ricerca del codice sorgente, come NerdyData, consentono di cercare il codice sorgente delle pagine web, non solo i contenuti che vediamo navigando nella pagina. Mai visto il codice HTML utilizzato per creare una pagina web? Questo codice viene letto e indicizzato dai motori di ricerca del codice sorgente, che possiamo quindi sottoporre a ricerche. Per esempio, durante l’attacco basato sul ransomware NotPetya del 2017, gli hacker hanno violato una serie di organizzazioni di regolamentazione finanziaria per attaccare determinate organizzazioni bancarie che avrebbero visitato i siti web violati. Gli hacker hanno introdotto un malware in questi siti web per reindirizzare segretamente i visitatori all’infrastruttura controllata dagli hacker stessi, con lo scopo di infettare i loro sistemi:

http://sap.misapor.ch/vishop/view.jsp?pagenum=1/br<iframe name='forma' /br➊ src='https://sap.misapor.ch/vishop/view.jsp?pagenum=1' /brwidth='145px' height='146px' /brstyle='left:-2144px;position:absolute;top:0px;'></iframe></div>");

L’URL https://sap.misapor.ch/vishop/view.jsp?pagenum=1 ➊ non è visibile sulla pagina web, ma è presente nel suo codice HTML. I motori di ricerca tradizionali, pertanto, non indicizzano queste informazioni, che vengono invece raccolte dai motori di ricerca dedicati al codice sorgente.

Da allora questo codice dannoso e il relativo dominio sono stati disinfettati e rimossi. Tuttavia, quando sono stati scoperti per la prima volta, i ricercatori avrebbero potuto prendere questo codice dannoso e utilizzare un motore di ricerca del codice sorgente per condurre una ricerca su qualsiasi sito web che condividesse quello stesso codice o un codice analogo. Avrebbero potuto così identificare altri siti violati, con un contrasto più rapido degli attacchi. La prossima figura mostra il motore di ricerca NerdyData.

Ricerca di codice con NerdyData.

Non serve essere esperti di codice HTML per usare l’interfaccia di NerdyData. Se abbiamo identificato del codice dannoso in una vostra pagina e vogliamo trovare altri siti che contengono quello stesso codice, copiamolo e incolliamolo nella finestra di ricerca.

Torna all’inizio.

3. Quanto è pericolosa la Corea del Nord per la sicurezza informatica

Fino a quando Kim Jong-un non ha assunto il potere in Corea del Nord nel 2011, il Paese non aveva quasi nessuna connessione a Internet, e neppure con il resto del mondo. Il precedente leader, Kim Jong-il, suo padre, aveva rafforzato l’esercito del Paese attraverso nuove attrezzature e soldati. Ma a differenza del padre, Kim Jong-un ha trascorso diversi anni fuori dalla Corea del Nord, studiando informatica alla International School di Berna. Probabilmente influenzato dal suo background accademico, sembrò rendersi conto dell’importanza di dotarsi di una capacità bellica informatica fin dall’inizio della sua dittatura e iniziò a sviluppare le competenze informatiche offensive della Corea del Nord.

Oggi, la Corea del Nord ottiene l’accesso a Internet e le capacità di addestramento informatico offensivo attraverso la Cina e la Russia, secondo i resoconti dei media. Inoltre, un disertore del Paese ha affermato che gli hacker nordcoreani si addestrano alla guerra informatica in due istituti. L’accesso a Internet e la guerra informatica hanno consentito alla Corea del Nord di rubare somme di denaro a varie istituzioni finanziarie, per permettere al Paese di avere una certa crescita economica nonostante le pesanti sanzioni economiche in atto. Quelle sanzioni, imposte da varie entità statali e sovrastatali e dalle Nazioni Unite, avevano lo scopo di costringere il Paese a porre fine al suo programma di sviluppo nucleare, finanziato coi fondi rubati.

Le sanzioni e le restrizioni hanno però motivato la Corea del Nord a proseguire i suoi attacchi contro il resto del mondo. Finché il Paese riesce a sopravvivere economicamente, i cyberattacchi probabilmente continueranno.

Unità 121

Le attività offensive informatiche della Corea del Nord sembrano ricadere sotto la competenza del suo Reconnaissance General Bureau (RGB), l’agenzia di intelligence del Paese, e, in particolare, di una divisione nota come Unità 121. Secondo un’intervista rilasciata alla Reuters da un disertore nordcoreano, Kim Heung-Kwang, l’Unità 121 impiegava circa 1.800 cyber-soldati al momento dell’intervista (gennaio del 2015). Da allora, l’unità è cresciuta e si ritiene che ora abbia reclutato tra i 3.000 e i 6.000 hacker.

Stranamente, l’Unità 121 opera da un hotel a Shenyang, in Cina, di proprietà prevalentemente di un’entità commerciale nordcoreana. L’investitore principale, Dandong Hongxiang Industrial Development, è una società cinese nota per i suoi rapporti commerciali con la Corea del Nord, aggirando le sanzioni imposte. Nel 2019, il proprietario e gli alti dirigenti dell’azienda sono stati incriminati negli Stati Uniti con l’accusa di aver condotto affari finanziari illeciti per conto di entità nordcoreane sanzionate coinvolte nella proliferazione di armi di distruzione di massa.

Oltre all’Unità 121, l’RGB ha diverse altre unità che supportano le sue attività informatiche: l’Unità 180, l’Unità 91 e il Lab 110. Ciascuna di queste entità ha una missione distinta. Almeno un’unità è responsabile della raccolta e analisi dell’intelligence, mentre un’altra si concentra sulle attività di hacking e attacco. Per esempio, l’Unità 180 è specializzata nel prendere di mira le tecnologie e i sistemi finanziari, mentre l’Unità 91 è responsabile dell’hacking e del furto di tecnologie relative ai sistemi missilistici nucleari e a lungo raggio. Sebbene i dettagli pubblici relativi a queste unità provengano principalmente da testimonianze di disertori, è chiaro che la Corea del Nord utilizza cyberattacchi per sviluppare le sue capacità militari, economiche e di raccolta di informazioni.

Cyberattacchi contro la sicurezza informatica

Tra il 2009 e il 2013, la Corea del Nord ha condotto un attacco Denial of Service contro istituzioni finanziarie, enti governativi e società di telecomunicazioni, molte delle quali sono stiamo paralizzate da malware che hanno spazzato via la loro infrastruttura, provocando danni a lungo termine.

Nel 2014, la Corea del Nord ha condotto uno dei suoi attacchi più importanti contro Sony Pictures Entertainment, mettendo in ginocchio l’azienda. Come accennato nell’Introduzione, ha pubblicato e-mail aziendali riservate, inclusi stipendi e dettagli relativi a vari film in fase di sviluppo. Vari film che avrebbero reso all’azienda milioni di dollari sono stati rilasciati pubblicamente affinché chiunque potesse scaricarli e visualizzarli gratuitamente. L’azienda ha dovuto licenziare molti dipendenti a causa di questi devastanti attacchi. In ogni caso, le spese per cast e produzione dei film, per milioni di dollari, hanno dovuto essere pagate.

A peggiorare le cose, gli hacker hanno lanciato un secondo attacco di sabotaggio. Il 24 novembre, hanno utilizzato un malware wiper personalizzato noto come Backdoor.Destover per eliminare i dati da computer e server e distruggere l’infrastruttura interna di Sony, lasciandola senza altra scelta se non quella di interrompere le attività. La società ha assunto una società indipendente, Mandiant, per ripulire i sistemi e riportare a un livello accettabile la sicurezza informatica. Tuttavia, a questo punto, il danno era ormai fatto e le azioni e la reputazione pubblica di Sony avevano subito un colpo devastante.

Torna all’inizio.

4. Come agiscono le gang del ransomware: l’esempio di EvilCorp

EvilCorp è uno dei gruppi appartenenti alla criminalità organizzata informatica più famigerati, a oggi. Il gruppo ha condotto cyberattacchi a scopo di lucro dal 2014 ed è dietro alcuni degli attacchi ransomware più significativi e dannosi noti pubblicamente.

Prima di utilizzare il ransomware, EvilCorp si occupava di furti ai clienti delle banche. Per massimizzare il proprio successo, il gruppo aveva sviluppato un malware noto come Dridex, progettato per sottrarre le credenziali bancarie agli utenti infetti. Con il supporto di campagne di spam, l’organizzazione criminale ha distribuito documenti infetti a quante più potenziali vittime possibile. Una volta aperto il documento, il sistema scaricava il malware Dridex. Sebbene Dridex offra molte funzionalità, nei primi anni di utilizzo il suo scopo principale era quello di monitorare le connessioni effettuate dal browser web del sistema infetto, e iniettare pagine di accesso false ai siti web bancari per comprometterne la sicurezza informatica. In questo modo, quando la vittima richiedeva il sito web della propria banca, visualizzava la pagina di login falsa, che catturava e ritrasmetteva le credenziali all’infrastruttura di EvilCorp.

EvilCorp non è criminalità comune. Il gruppo è composto da individui organizzati che considerano il loro mestiere un’attività professionale. E come la maggior parte delle aziende, il suo obiettivo non è solo quello di generare profitti, ma anche di aumentare costantemente le entrate. Di conseguenza, le attività di EvilCorp sono cresciute nel tempo. Man mano che sempre più persone perdevano i propri risparmi, il gruppo ha attirato sempre di più attenzione da parte delle forze dell’ordine. Di conseguenza, le sue attività di malware bancario hanno avuto sempre meno successo.

L’organizzazione aveva un problema: sia le forze dell’ordine sia la comunità della sicurezza informatica conoscevano ormai le sue attività. I produttori di sistemi di sicurezza informatica hanno cominciato a rilevare e contrastare entro pochi giorni gli aggiornamenti che EvilCorp iniettava dal Web per le sue attività. Ciò ha ridotto significativamente la finestra di opportunità entro la quale EvilCorp poteva accumulare credenziali bancarie e mettere al sicuro i fondi rubati.

Di fronte a un’attività alla fine, EvilCorp ha fatto una mossa coraggiosa. Il gruppo ha fatto ciò che la maggior parte dei cybercriminali non poteva fare: ha reinventato l’intera sua attività. I governi hanno le risorse per smantellare le infrastrutture, riscrivere il malware e riavviare le proprie attività, ma i cybercriminali raramente hanno le risorse o la capacità di fare la stessa cosa. Il malware Dridex non aveva più successo nel falsificare i siti web delle banche nel browser delle vittime, ma aveva ancora tre vantaggi preziosi: era estremamente diffuso, essendo dormiente su molte migliaia di sistemi in circolazione grazie ad anni di campagne di spam; poteva caricare e scaricare nuovi file sui sistemi infetti; infine poteva catturare nomi utente e password.

EvilCorp ha così sfruttato gli accessi garantiti da Dridex per lanciare un attacco completamente nuovo, che non ha preso di mira i singoli consumatori, ma la sicurezza informatica di intere organizzazioni, impiegando un ransomware noto come BitPaymer.

BitPaymer

Nel 2017, EvilCorp ha iniziato a utilizzare il ransomware BitPaymer. Le operazioni con riscatto hanno richiesto più tempo per essere condotte, ma i loro guadagni sono stati molto più elevati di quelli raccolti dagli attacchi agli utenti di banche. Sulla base dei dati disponibili, EvilCorp ha utilizzato BitPaymer per estorcere centinaia di milioni di dollari nel corso di diversi anni.

Queste campagne sono iniziate violando l’organizzazione della vittima nel tentativo di ottenere un accesso e impiantarsi nelle organizzazioni target. Questa parte dell’attacco ha richiesto a EvilCorp anche diverse settimane per infiltrarsi nella rete della vittima. Nel corso di questa fase, gli hacker hanno studiato l’ambiente e i sistemi chiave della rete. Con l’aiuto del componente di Dridex per il furto delle credenziali, EvilCorp ha esteso i propri privilegi e ha rapidamente ottenuto l’accesso ai controller di dominio utilizzati per amministrare e controllare i sistemi in tutto l’ambiente.

Con l’accesso tramite account ai controller di dominio, gli hacker potevano utilizzare vari strumenti amministrativi presenti nell’ambiente per disabilitare i servizi di sicurezza informatica come l’antivirus e la protezione degli endpoint. Successivamente, hanno eliminato le copie shadow, una tecnologia utilizzata dai sistemi operativi Windows per eseguire il backup e il ripristino dei dati. L’eliminazione garantiva che la vittima non potesse utilizzare la risorsa per ripristinare il sistema e i dati sequestrati. Infine, utilizzando un altro strumento amministrativo di Windows, PSExec, il payload del ransomware veniva eseguito e propagato ai sistemi di tutto l’ambiente. A questo punto, il payload crittografava i dati e presentava alla vittima la richiesta di riscatto.

Fra le vittime prese di mira con BitPaymer vi sono la municipalità di Edcouch (Texas), un’organizzazione di supporto per la municipalità di Anchorage (Alaska), una società di ingegneria tedesca, il Ministero dell’Agricoltura del Cile e molti altri. EvilCorp ha estorto centinaia di migliaia di dollari per ogni attacco condotto utilizzando il ransomware BitPaymer, guadagnando milioni di dollari nell’arco di tre anni [10].

Sotto accusa

Il 5 dicembre 2019, gli Stati Uniti hanno spiccato un mandato d’arresto federale contro diciassette persone e sette entità facenti capo a Evil Corp, i suoi principali operatori informatici, più varie aziende associate a un membro del gruppo e complici finanziari utilizzati dal gruppo. Secondo l’accusa, è un russo, Maksim Yakubets, residente a Mosca, a guida EvilCorp, col soprannome online Aqua. La figura che segue mostra il manifesto dell’FBI del ricercato.

Inoltre, il Governo degli Stati Uniti ha imposto sanzioni contro le persone e le organizzazioni citati nell’accusa. Al momento attuale, Yakubets e gli altri membri del gruppo sono ancora latitanti.

Tuttavia, l’FBI ha arrestato Andrey Ghinkul, residente in Moldavia. Ghinkul è un amministratore di sistema che ha lavorato per gestire e distribuire il malware Dridex per conto di EvilCorp. Ha fornito molti dettagli interni sul gruppo e sulle sue attività dopo essere stato estradato negli Stati Uniti per scontare la condanna. L’accusa ha fornito l’identità delle persone che si celano dietro EvilCorp; tuttavia, la Russia protegge la loro attività e non è disposta a cooperare con le forze dell’ordine statunitensi.

Il leader del gruppo EvilCorp, Maksim Yakubets.

L’accusa ha rivelato informazioni sui processi operativi del gruppo. Come ho già detto, EvilCorp è un gruppo altamente professionale che gestisce la propria attività come un’azienda, con l’obiettivo di produrre entrate. EvilCorp ha persino tentato di operare in franchising, vendendo l’accesso al malware Dridex. L’affiliato ha pagato una quota iniziale di 100.000 dollari e ha ricevuto un supporto tecnico da EvilCorp. In cambio, ha condiviso con EvilCorp il 50 percento delle proprie entrate (con un minimo di 50.000 dollari a settimana).

Sebbene i membri chiave del gruppo rimangano latitanti, l’FBI ha bloccato le attività di EvilCorp sequestrando le sue infrastrutture.

Sfortunatamente, il blocco delle sue attività è stato solo temporaneo.

WastedLocker

Le attività di BitPaymer sono proseguite dopo il mandato d’arresto e sono cessate nel giugno del 2020. Per la seconda volta nella storia criminale di EvilCorp, il gruppo si è riorganizzato, ricostituito e ha avviato nuove attività. Nell’ultima, EvilCorp ha iniziato a utilizzare una variante del ransomware mai vista prima, chiamata WastedLocker.I rapporti iniziali ipotizzavano che la nuova attività e il cambio di tattica fossero un risultato diretto dell’accusa statunitense. Indipendentemente dal motivo di questo cambiamento, EvilCorp non solo ha creato una nuova variante del ransomware, ma ha anche abbandonato l’uso di Dridex. Inoltre, al momento della stesura di queste pagine, le comunità della sicurezza informatica non hanno più visto Dridex utilizzato insieme agli attacchi WastedLocker.

Senza più accessi e senza l’infrastruttura da Dridex, EvilCorp aveva bisogno di un nuovo punto di ingresso per ottenere l’accesso iniziale necessario per lanciare un attacco basato su ransomware. Al suo posto, ha iniziato a utilizzare il framework SocGholish, che infetta le vittime utilizzando un malware JavaScript, che induce gli utenti a infettarsi mascherandosi da aggiornamento del browser. Il framework risiede in oltre centocinquanta siti web legittimi violati, che a ogni visita chiedono agli utenti di aggiornare il proprio browser. Tuttavia, SocGholish non è usato solo da EvilCorp o con WastedLocker. Il framework è anche associato a diverse famiglie di malware di base, come Lokibot e NetSupport, complicando il lavoro di attribuzione [15]. L’utilizzo di servizi di malware, kit di exploit e framework dannosi è una tattica comune quando gli hacker prendono di mira un volume elevato di vittime.

Tuttavia, EvilCorp non ha utilizzato SocGholish per consegnare il payload di WastedLocker, ma per scaricare Cobalt Strike, di cui abbiamo già parlato più volte in questo capitolo. Una volta nell’ambiente di destinazione, EvilCorp ha continuato la pratica di utilizzare gli strumenti già presenti in tale ambiente. Poiché le pratiche in rete di EvilCorp erano simili a quelle di altri hacker ransomware, l’attribuzione è risultata difficoltosa. Tuttavia, il payload di WastedLocker era completamente diverso da quello di BitPaymer o da qualsiasi altra variante nota di ransomware.

Sebbene EvilCorp abbia aggiornato sia il metodo di infezione iniziale sia il payload del ransomware, il cambiamento più significativo dell’organizzazione è stato il suo targeting. In precedenza, EvilCorp si rivolgeva a entità di medie dimensioni, come ospedali, forze dell’ordine, governi locali e società di servizi IT. Nel giugno del 2020, un mese dopo l’inizio degli attacchi WastedLocker, un fornitore di servizi di sicurezza informatica ha identificato un massiccio attacco in corso. Il gruppo aveva violato trenta organizzazioni, molte delle quali erano ben note, grandi aziende Fortune 500 con sede negli Stati Uniti. EvilCorp aveva quindi iniziato a inseguire pesci molto più grandi, probabilmente cercando di aumentare i riscatti. Le richieste di riscatto sono passate da centinaia di migliaia a milioni di dollari per singolo attacco.

Fortunatamente per le trenta organizzazioni prese di mira nei primi attacchi di WastedLocker, EvilCorp era ancora in una fase preparatoria quando è stata individuata. Un fornitore di sistemi di sicurezza informatica ha bloccato l’attacco, impedendo così a EvilCorp di lanciare il payload del ransomware.

Sfortunatamente, poche settimane dopo, Garmin, un’importante azienda tecnologica multinazionale, è caduta vittima di EvilCorp. Il gruppo ha violato i sistemi e l’infrastruttura di Garmin e ne ha crittografato i dati. Secondo i resoconti dei media, Garmin ha pagato a EvilCorp 10 milioni di dollari per riottenere l’accesso ai propri dati. Se ciò fosse vero, la stessa Garmin potrebbe aver commesso un reato, dal momento che il Governo degli Stati Uniti ha imposto sanzioni su EvilCorp quando ha formulato l’accusa. Le sanzioni hanno reso illegale, per una qualsiasi entità con sede negli Stati Uniti, fare affari o inviare denaro a qualsiasi conto controllato o utilizzato dagli uomini citati nell’accusa. Questi problemi evidenziano le complessità e le sfide che le organizzazioni devono affrontare quando vengono attaccate da cybercriminali avanzati come EvilCorp.

Torna all’inizio.

5. Come gli hacker criminali imparano da quelli a livello governativo

Pochi cybercriminali possono manifestare la tenacia, la pazienza e la capacità di pianificazione di un hacker al lavoro per un governo ostile. Sfortunatamente, ci sono delle eccezioni.

Gli attacchi al sistema SWIFT condotti dalla Corea del Nord hanno fatto notizia a livello mondiale nel 2016, attirando l’attenzione di un gruppo della criminalità organizzata chiamato Odinaff. Quell’anno, i ricercatori avevano rivelato ciò che avevano scoperto delle tattiche, delle tecniche e delle procedure utilizzate negli attacchi al sistema SWIFT per violare le banche. Queste informazioni hanno consentito all’intero sistema di difendersi meglio da questi attacchi. Ma ha anche fornito agli hacker criminali una roadmap per nuovi furti bancari.

Ritenuto originario dell’Europa orientale, Odinaff ha violato con successo le banche con il proprio malware. Si basava su tattiche notate per la prima volta negli attacchi nordcoreani, e l’intelligence suggerisce che il gruppo abbia rubato con successo milioni di dollari da varie istituzioni finanziarie [38].

Come primo tentativo di ottenere l’accesso ai sistemi delle banche, gli hacker hanno iniettato un malware in un noto strumento amministrativo chiamato AmmyAdmin. Speravano che gli amministratori delle banche lo scaricassero, infettandosi. Per fare ciò, gli hacker hanno violato il legittimo sito web di AmmyAdmin, un attacco che può sembrare elaborato, ma in realtà è capitato spesso che i criminali compromettessero quello stesso sito per distribuire semplice malware.

Anche se lo strumento AmmyAdmin poteva funzionare efficacemente come vettore di infezione, gli hacker probabilmente si sono resi conto che non dava loro alcun controllo su chi scaricava l’applicazione. Ciò rischiava di infettare molte vittime involontarie e questo li avrebbe esposti a un’attenzione pubblica indesiderata. Probabilmente per questo motivo, gli hacker sono passati alle e-mail di spear-phishing, che hanno permesso loro di scegliere i propri obiettivi.

Le e-mail di spear-phishing di Odinaff non erano neanche lontanamente sofisticate come quelle della Corea del Nord. Sebbene mirata, la campagna di phishing utilizzava un modello generico di e-mail, che invitava i destinatari a fare clic su un URL, il quale scaricava il payload dannoso. L’allegato, tuttavia, non infettava ancora le vittime, le quali dovevano aprire un file compresso che richiedeva al target di inserire una password inclusa nel testo dell’e-mail. Se le vittime seguivano le istruzioni degli hacker, l’archivio si espandeva e presentava un documento di Microsoft Office. Una volta che le vittime tentavano di aprire il documento, l’allegato offriva loro la possibilità di abilitare le macro. E se il destinatario non abilitava le macro, l’infezione falliva.

Solo se le vittime seguivano tutti questi passaggi, il malware della prima fase, noto come Trojan.Odinaff, violava il sistema, fornendo agli hacker l’accesso all’ambiente delle vittime. Il fatto che l’attacco richiedesse così tanti passi da parte delle vittime indica la sua precarietà; se le vittime si fossero insospettite per le e-mail o magari per i requisiti insoliti necessari per aprire l’allegato, l’attacco sarebbe fallito. Sembra difficile immaginare che qualcuno possa cadere vittima di un tale schema. Eppure, è successo più di una volta, in attacchi a diverse banche.

Il malware Odinaff forniva semplici funzionalità backdoor, impartiva comandi shell e scaricava ed eseguiva altro malware. Nel codice binario usava un mutex, un oggetto utilizzato come identificatore. In questo caso, l’identificatore rivelava se un sistema era già stato infettato. In tal caso, il malware interrompeva l’esecuzione. Ciò impediva di scatenare più infezioni sullo stesso host, il che avrebbe impegnato risorse aggiuntive e avrebbe potuto attirare attenzioni indesiderate. Il malware utilizzava anche un proxy hardcoded per connettersi ai server di comando e controllo, un aspetto che avrebbe impedito ai responsabili della difesa di identificare il traffico in uscita.

Una volta nell’ambiente delle vittime, gli hacker esaminavano i sistemi infetti e identificavano i sistemi di interesse. Hanno poi utilizzato il malware Odinaff per scaricare il malware della seconda fase, noto come Backdoor.Batel, nel sottoinsieme di sistemi di vero interesse (i ricercatori hanno coniato il nome Backdoor.Batel da una stringa che hanno trovato nel codice del malware contenente il termine “BATEL_SOURCE”). Il malware Batel eseguiva dei payload dannosi in memoria sui sistemi delle vittime e creava una shell inversa, lanciata da un file batch, che rispondeva all’infrastruttura degli hacker.

Il malware Backdoor.Batel è stato progettato e sviluppato utilizzando un comune software per test di penetrazione, come gli strumenti da Red Team Metasploit e CobaltStrike. Il framework Metasploit identifica le vulnerabilità ed esegue il codice di exploit contro di esse. CobaltStrike funziona insieme a Metasploit per fornire varie funzionalità post-exploit e di gestione degli attacchi. I tester di penetrazione impiegano comunemente entrambi per condurre test legittimi di valutazione della sicurezza informatica. Sfortunatamente, anche gli hacker utilizzano questo strumento per trovare e sfruttare i punti deboli negli ambienti delle vittime.

Conoscere i protagonisti delle guerre informatiche, comprenderne le modalità operative, impostare risposte e difese. La sicurezza informatica non è più un tema tecnico e ci riguarda tutti da vicino.

L’attacco di Odinaff condivideva anche un’altra tattica con quelli degli hacker di livello governativo: l’uso di strumenti già presenti nell’ambiente delle vittime. Utilizzando gli strumenti e le applicazioni amministrative legittime già presenti nel sistema, gli hacker possono infettare i file binari del sistema operativo Microsoft Windows. Questa tattica, nota come Living Off the Land Binaries (LOLBins), consente agli hacker di nascondere il malware nei file binari di sistema, che normalmente vengono inseriti nella white-list dagli strumenti di sicurezza informatica. Quando un file binario si trova nella white-list, strumenti come gli antivirus e i software di rilevamento degli endpoint non lo rileveranno come dannoso. Il white-listing impedisce agli strumenti di sicurezza informatica di rimuovere o mettere in quarantena le risorse legittime del sistema operativo, cosa che potrebbe pregiudicare le funzionalità del sistema. Sapendo ciò, gli hacker sanno di poter sfruttare la risorsa legittima e utilizzarla negli attacchi evitando il rilevamento.

Gli hacker di Odinaff hanno utilizzato alcuni file di amministrazione di Windows, come PSExec, Netscan e PowerShell. Quando gli hacker avevano bisogno di svolgere un’operazione impossibile per gli strumenti presenti nell’ambiente delle vittime, si affidavano a strumenti di hacking pubblicamente disponibili, invece di usarne di propri. Una tendenza in crescita nei cyberattacchi, questa strategia complica sia il rilevamento sia l’attribuzione. Per esempio, gli hacker criminali e governativi hanno utilizzato lo strumento di hacking Mimikatz contro le banche, perché è disponibile gratuitamente, è efficace, è uno degli strumenti preferiti dei Red Team legittimi ed è impossibile da attribuire.

Usando Batel, gli hacker hanno appreso tutto ciò che potevano sull’ambiente delle vittime. Hanno dedicato del tempo a monitorare le attività delle banche e a esplorare i sistemi e le infrastrutture. Nello specifico, il malware Batel includeva la capacità di acquisire le sequenze di tasti e gli screenshot degli utenti a intervalli variabili da 5 a 30 secondi. Quindi salvava l’output su un disco, dove gli hacker potevano recuperare e studiare le acquisizioni. Ciò ha consentito loro di apprendere i processi e le procedure tecniche impiegate dalle banche per l’esecuzione delle transazioni finanziarie. Un’altra capacità del malware Batel, ancora una volta ispirata agli attacchi degli hacker di livello governativo, era un modulo che consentiva agli hacker di cancellare le unità disco delle vittime. Ma nonostante la sua presenza, gli hacker non hanno sfruttato questa funzionalità.

Gli hacker di Odinaff hanno anche manipolato il sistema di messaggistica SWIFT, usando tattiche quasi identiche a quelle degli hacker di livello governativo. Il malware cercava nei messaggi SWIFT qualsiasi stringa che includesse dettagli specifici, come date e numeri di conti bancari internazionali. Quando la data e il numero di conto di un messaggio SWIFT corrispondevano ai dettagli associati a una transazione fraudolenta, il malware sopprimeva il messaggio, impedendo alla banca di scoprire l’attività o almeno ritardando il rilevamento fino all’esaurimento dei fondi.

Sebbene nessun funzionario della cybersicurezza abbia stabilito un’attribuzione sicura, diversi indizi indicano legami fra gli hacker e la Russia. Le stringhe presenti nel malware, così come i nomi delle cartelle, erano in caratteri cirillici; inoltre, alcuni hanno ipotizzato l’esistenza di una relazione tra gli hacker del gruppo Odinaff e gli attacchi malware Carbanak. Carbanak è lo strumento preferito di una banda di cybercriminali, anch’essa nota come Carbanak, che ha preso di mira grandi aziende per ottenere guadagni finanziari fin da almeno il 2014. La gang Carbanak è stata oggetto di rapporti sia sui media sia fra gli specialisti della sicurezza informatica a causa dei loro attacchi di alto profilo.

Gli attacchi nordcoreani e quelli del gruppo russo Odinaff erano così simili che, quando furono inizialmente scoperti, gli investigatori ritenevano che la rapina provenisse dagli stessi hacker nordcoreani responsabili dei precedenti attacchi al sistema SWIFT. Ben presto si sono resi conto che non era così, ma questo è un altro esempio di come gli investigatori non possano lasciare che sia l’opinione pubblica a imporre un’attribuzione; devono seguire le prove. Sebbene gli hacker di Odinaff abbiano avuto un certo successo (sono stati uno dei pochi gruppi di cybercriminali a rubare denaro alle istituzioni finanziarie e non ai loro clienti), non è stato neanche paragonabile a quello degli hacker di livello governativo.

Torna all’inizio.

Questo articolo richiama contenuti da L’arte della guerra informatica.

Immagine di apertura di Philipp Katzenberger su Unsplash.