Continua il viaggio nei meandri della guerra cibernetica ad opera dei russi. Quest’oggi ci soffermiamo ancora una volta su Cozy Bear, APT29, per via dell’opera magna cibernetica compiuta ai danni di uno stato potente e dotato di sistemi di sicurezza avanzati come gli USA.
Perché è realmente conosciuta Cozy Bear?
Abbiamo letto che si è arrivati spesso ad attribuire responsabilità degli attacchi APT in modo indiretto secondo indizi e spesso senza prove concrete. Questo perché un governo impegnato sul fronte militare ambisce sempre a non essere riconoscibile e prova ad utilizzare capri espiatori per non far emergere la sua identità. In effetti c’è da dire che, tra attacchi denunciati, ma non riusciti, ipotesi avanzate in primis grazie all’equazione attacco informatico = hacker russi, sono pochi i casi conclamati dove risulta evidente la partecipazione dei servizi militari al soldo di Putin.
Il più grande attacco della storia USA
Nel mentre ci si interroga sulla paternità di determinati attacchi avvenuti in passato, nemmeno di grande entità e sventati più volte, Cozy Bear è per molti il responsabile del più grande databreach ai danni degli USA. Nel dicembre del 2020, la società statunitense di sicurezza informatica FireEye ha rivelato che una raccolta dei loro strumenti di ricerca sulla sicurezza informatica proprietari era stata rubata probabilmente da “una nazione con capacità offensive di alto livello”. Il 13 dicembre 2020, FireEye ha annunciato che le indagini sulle circostanze di quel furto di proprietà intellettuale hanno rivelato “una campagna di intrusione globale” facilitata dalla compromissione degli aggiornamenti al software Orion, colpevoli di diffondere il malware SUNBURST ai suoi clienti. Cosa ancora più agghiacciante è che l’attività di spionaggio ai danni della società di sicurezza informatica avanzata risaliva almeno ad aprile 2021.
Poco dopo, SolarWinds è uscita allo scoperto confermando che più versioni dei suoi prodotti presenti in piattaforma Orion erano stati compromessi, individuando in un attore straniero l’origine dell’attacco. L’impatto dell’attacco ha spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a emanare direttiva di emergenza desueta per il modus operandi solito. Circa 18.000 clienti SolarWinds sono stati esposti a SUNBURST, incluse diverse agenzie federali degli USA. Fonti del Washington Post hanno identificato Cozy Bear come il gruppo responsabile dell’attacco.
Tutta colpa di Microsoft
Il migliore attacco informatico della storia ai danni degli USA è stato messo a punto dai cugini minori del gruppo di intelligence più temuto al mondo. I vettori di attacco utilizzati sembrerebbero essere stati in tre, concatenati tra loro, ma che hanno avuto origine da alcuni exploit Microsoft. Gli aggressori hanno sfruttato le falle nei prodotti, nei servizi e nell’infrastruttura di distribuzione del software Microsoft. Almeno un rivenditore di servizi cloud della società di Redmond è stato compromesso dagli aggressori, effettuando un attacco alla catena di approvvigionamento che ha consentito di accedere ai servizi cloud utilizzati dai clienti del rivenditore. A contribuire alla riuscita dell’attacco “Zerologon”, una vulnerabilità nel protocollo di autenticazione Microsoft NetLogon, che ha permesso agli aggressori di accedere a tutti i nomi utente e password validi in ciascuna rete Windows che hanno violato. Ciò ha permesso loro di accedere a credenziali aggiuntive necessarie per assumere i privilegi di qualsiasi utente presente nella rete il che, a sua volta, ha permesso loro di compromettere gli account di posta elettronica di Microsoft Office 365. Inoltre, un difetto nell’app Web Outlook di Microsoft potrebbe aver consentito agli aggressori di aggirare l’autenticazione a più fattori. È stato scoperto che gli aggressori sono entrati in Office 365 in un modo che ha permesso loro di monitorare le e-mail del personale NTIA (Dipartimento comunicazioni) e del Tesoro per diversi mesi. Questo attacco avrebbe utilizzato token di identità contraffatti di qualche tipo, consentendo agli aggressori di ingannare i sistemi di autenticazione di Microsoft. La presenza di un’infrastruttura di accesso unico ha aumentato la fattibilità dell’attacco.
Questo è un caso di spionaggio classico, realizzato in maniera altamente sofisticata mantenendo allo stesso tempo lo standard furtivo, che ha consentito agli aggressori di avere accesso al sistema di build appartenente alla società di software SolarWinds, probabilmente tramite l’account Microsoft Office 365 in sua licenza, che a un certo punto era stato anch’esso compromesso.
Dal Cloud 365 al software Orion
Gli aggressori hanno stabilito un punto d’appoggio nell’infrastruttura di pubblicazione del software di SolarWinds entro settembre 2019. Nel sistema di compilazione, gli aggressori hanno modificato surrettiziamente gli aggiornamenti software forniti da SolarWinds agli utenti del suo software di monitoraggio della rete Orion. La prima modifica nota, nell’ottobre 2019, era solo una prova di concetto. Una volta stabilite le prove, gli aggressori hanno trascorso dal dicembre 2019 al febbraio 2020 creando un’infrastruttura di comando e controllo.
Nel marzo 2020, gli aggressori hanno iniziato a inserire malware dello strumento di accesso remoto negli aggiornamenti di Orion ad utenti di alta gamma come profili che includono figure del governo degli Stati Uniti nei rami dell’esecutivo, nell’esercito e nei servizi di intelligence. La strategia di attacco, una volta preparato l’azione a tavolino, prevedeva che nel caso un utente avesse installato l’aggiornamento, quest’ultimo avrebbe eseguito il payload del malware. Una volta infettato il pc, il software malevolo era stato programmato per restare inattivo per 12-14 giorni prima di tentare di comunicare con uno o più server di comando e controllo. Nel corso del periodo finestra, le comunicazioni tra macchine infette e la sala di gestione allestita dagli attori erano state progettate per imitare il traffico ordinario di SolarWinds con il fine di non far registrare delle anomalie in fase di auditing Appena in grado di contattare uno di quei server, gli aggressori hanno avuto un segnale della distribuzione di malware riuscita ed hanno potuto sfruttare una miriade di backdoor da poter sfruttare passando inosservati. Il malware ha iniziato a contattare i server di comando e controllo nell’aprile 2020, inizialmente dal Nord America e dall’Europa e successivamente anche da altri continenti. Sembra che gli aggressori abbiano utilizzato solo una piccola parte della miriade di malware implementate da loro, ma più esperti hanno convenuto sul fatto che abbiano riservato all’azione in questione quelle destinate a reti di computer appartenenti a obiettivi di alto valore.
Una volta entrati all’interno delle reti di destinazione, gli aggressori si sono orientati, installando strumenti di sfruttamento come i componenti di attacco Cobalt, cercando un accesso aggiuntivo. Poiché Orion era connesso agli account Office 365 dei clienti come un’applicazione di terze parti affidabile, gli aggressori sono stati in grado di accedere a e-mail e altri documenti riservati. Apparentemente questo accesso li ha aiutati a cercare certificati che avrebbero permesso loro di firmare token SAML, consentendo loro di mascherarsi da utenti riconosciuti per ulteriori servizi locali e servizi cloud come Microsoft Azure Active Directory. Una volta ottenuti questi punti d’appoggio aggiuntivi, senza nemmeno più disabilitare il software Orion perché già compromesso, si sono individuati i dati di interesse per poi crittografarli ed esfiltrarli.
Gli attaccanti hanno ospitato i loro server di comando e controllo su servizi cloud commerciali di Amazon, Microsoft, GoDaddy e altri. Utilizzando indirizzi IP di comando e controllo con sede negli Stati Uniti e poiché gran parte del malware coinvolto era nuovo, gli aggressori sono stati in grado di eludere il rilevamento di Einstein, un sistema di sicurezza informatica nazionale gestito dal Department of Homeland Security (DHS).
Gli investigatori dell’FBI hanno recentemente scoperto che un difetto separato nel software realizzato da SolarWinds Corp è stato utilizzato da hacker legati a un altro governo straniero per aiutare a penetrare nei computer del governo degli Stati Uniti. Questa volta, però, l’origine non è stata ancora accertata.
VMare colpita ed affondata
Le vulnerabilità in VMware Access e VMware Identity Manager, che consentono agli intrusi di rete esistenti di ruotare e ottenere persistenza, sono state utilizzate nel 2020 da aggressori sponsorizzati dallo stato russo. Al 18 dicembre 2020, mentre era definitivamente noto che il trojan SUNBURST avrebbe fornito l’accesso adeguato per sfruttare i bug VMware, non era ancora noto in modo definitivo se gli aggressori avessero effettivamente concatenato quei due exploit oppure se li avessero utilizzati i momenti diversi.
La moria della sicurezza nazionale
Il problema essenziale di questo evento nefasto è stata la portata degli attacchi effettuati che ha messo in crisi non solo il sistema quotidiano della sicurezza, ma anche le contromisure e gli anticorpi messi in piedi dal controspionaggio nell’universo digitale. Un attacco che ha interessato i Dipartimenti dell’Agricoltura, Commercio, Telecomunicazioni, Difesa, Energia, Salute, Giustizia, arrivando perfino ad umiliare il settore della Cybersecurity e delle Agenzie di Sicurezza. Ancora più singolare che questo attacco sia stato ordito ai danni del paese che commercialmente ha colonizzato il mondo in ambito digitale.
Sarà per questo che gli hacker russi siano allo stesso quelli più temuti e tra quelli più apprezzati?
