Connect with us

segnalaci un sito truffa

Inchieste

Fancy Bear: una garanzia per Putin nella Guerra Cibernetica

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Bentrovati a un nuovo capitolo di Guerra Cibernetica. Dopo aver affrontato le attività di propaganda del paese Sovietico in rete, oggi entriamo nel merito dei gruppi militari e paramilitari presenti in Russia ed analizziamo le loro strategie. Attività come queste sono storicizzate dai primi anni 2000 e quindi la storia è piena di riferimenti su attività militari del gruppo informatico più chiacchierato del mondo occidentale. Non è un caso che quando accade qualcosa, l’hacker russo fa sempre il suo effetto nelle comunicazioni ufficiali dei soggetti aggrediti, anzi, viene avanzato subito il sospetto di un loro coinvolgimento ed in gran parte è vero. La Russia può contare su questi gruppi:

  • Fancy Bear (APT28)
  • Cozy Bear (APT29)
  • Sandworm
  • Berserk Bear
  • FIN7
  • Venomous Bear


In alcuni casi c’è l’acronimo della sigla Advanced Persisten Threat seguita da un numero, che serve a classificare il tipo di attacco a cui abbiamo dedicato il primo articolo che ha dato il via a questa rubrica. Il gruppo ha diversi nomi che sono scelti dagli scopritori degli attacchi e che generalmente sono società di sicurezza informatica impegnate nel campo della cybersecurity, sia statale sia aziendale, e nella produzione di antivirali. I mille volti di APT28 sono Pawn Storm, Sofacy Group (affibbiatogli da Kaspersky), Sednit, Tsar Team (da FireEye) e STRONTIUM (dal team di Microsoft. Essendo i russi impegnati nella guerra cibernetica da tempo, gli attacchi imputati a Fancy Bear sono in numero cospicuo.


Il nome “Fancy Bear” deriva dal sistema di codifica che Dmitri Alperovitch utilizza per i gruppi di hacker. “Bear” indica che gli hacker vengono dalla Russia. Fancy si riferisce a “Sofacy”, una parola nel malware che ha ricordato all’analista che lo ha trovato, la canzone “Fancy” di Iggy Azalea.

Il metodo degli attacchi


L’attacco di Fancy Bear non è unico, ma simile sotto certi aspetti perché rispecchia il protocollo delle minacce apt in generale. Vengono usate e-mail di spear phishing, per insinuarsi negli obiettivi con tecniche di ingegneria sociale. Non è un caso che hanno l’abitudine di spedire email il lunedì o il venerdì, dove chiedono di cambiare le password di accesso. Altro tipo di attacco è quello dei siti web di malware drop che, travestiti da fonti di notizie, consentono agli obiettivi di scaricare file malevoli spesso anche da domini simili ai siti più noti, ma è ricorrente anche l’utilizzo dei link abbreviati come bit.ly. Infine, le vulnerabilità zero-day. Proprio su quest’ultimo metodo è stata accertata la natura statale del gruppo perché solo nel 2015 Fancy Bear aveva effettuato attacchi con almeno 6 vulnerabilità critiche diverse, capaci di insinuarsi in programmi di alta gamma e questa potenza di fuoco può solo appartenere ad uno stato viste le risorse umane necessarie per raggiungere obiettivi del genere. I soggetti attaccati sono utilizzati anche come computer zombie che filtrano la navigazione in internet del team russo e questo rende incalcolabile la dimensione della bot net in possesso dell’FSB.


Giornalisti colpiti: dal New York Times alla CNN


Dalla metà del 2014 fino all’autunno del 2017, Fancy Bear ha preso di mira numerosi giornalisti negli Stati Uniti, Ucraina, Russia, Moldavia, Paesi Baltici e altri paesi che avevano scritto articoli su Vladimir Putin e il Cremlino. La lista dei bersagli di Fancy Bear include Adrian Chen, la giornalista armena Maria Titizian, Eliot Higgins di Bellingcat, Ellen Barry e almeno altri 50 reporter del New York Times, almeno 50 corrispondenti esteri con sede a Mosca che hanno lavorato per punti di informazione indipendenti, Josh Rogin, un editorialista del Washington Post, Shane Harris, uno scrittore del Daily Beast che nel 2015 ha coperto questioni di intelligence, Michael Weiss, un analista della sicurezza della CNN, 30 obiettivi dei media in Ucraina, reporter che hanno seguito la guerra sostenuta dalla Russia in Ucraina orientale, così come in Russia dove la maggior parte dei giornalisti presi di mira dagli hacker ha lavorato per notizie indipendenti come Ekaterina Vinokurova a Znak e i giornalisti russi di Governo come Tina Kandelaki, Ksenia Sobchak, e il conduttore televisivo russo Pavel Lobkov.


Attacchi tedeschi


Fancy Bear è ritenuto responsabile di un attacco informatico al parlamento tedesco durato sei mesi e iniziato nel dicembre 2014. L’attacco ha completamente paralizzato l’infrastruttura informatica del Bundestag nel maggio 2015. Per risolvere la situazione, l’intero parlamento ha dovuto essere messo offline per giorni con gli hacker russi che hanno scaricato come bottino un totale di 16 gigabyte di dati dal Parlamento. Un attacco che si è ripetuto nel 2016 ai membri del parlamento tedesco senza distinzione di appartenenza ai partiti mettendo in guardia l’intelligence sulle elezioni federali tedesche del 2017. Per questi attacchi, si è arrivati nel 2020 ad accusare Dimitri Badin, un ufficiale del GRU e sospetto membro di APT28, come principale sospettato per i cyber-attacchi. Tra i capi di imputazione figurano anche le elezioni del 2016 e del 2017 in Francia e Germania che sembrerebbero essere state prese di mira dal gruppo di Fancy Bear, anche se non ci sono mai state prove certe, ma solo ipotesi.

La False Flag del Califfato virtuale


Nel febbraio del 2015, cinque mogli di personale militare degli Stati Uniti hanno ricevuto minacce di morte da un gruppo hacker presentatosi come “CyberCaliphate“, sostenendo di essere un affiliato dello Stato Islamico. Si è poi scoperto che si trattava di un attacco false flag, con intenzioni di distrarre gli investigatori sugli autori, che è stato individuato quando, dopo indagini approfondite, le donne comparivano nella lista di email da utilizzare come esca per ottenere diverse informazioni.

Sempre sotto l’egida del CyberCaliphate, Fancy Bear l’ha letteralmente combinata grossa con la televisione francese TV5Monde nel mese di aprile sempre dello stesso anno. Oltre a modificare la programmazione per 3 ore di ben 12 canali televisivi appartenenti al network, rendendo il ripristino delle attività molto complesso tanto da pregiudicare i contratti commerciali dell’emittente televisiva, i pseudo hacker collegati all’ISIS hanno anche dirottato le pagine social su comunicazioni inneggianti al fondamentalismo islamico ed all’inutilità delle guerre intraprese dall’allora presidente Hollande. Ricostruendo l’accaduto, l’attacco è stato accuratamente pianificato con la tecnica di intrusione avvenuta nel 23 gennaio 2015, a cui ha fatto seguito lo studio dell’infrastruttura di rete del network televisivo, modellando poi un software maligno programmato per distruggere l’hardware in uso. Ben sette i punti di attacco sono stati individuati e non solo provenienti dalla Francia. Uno di questi è stato individuato nei Paesi Bassi e partiva da una società fornitrice delle telecamere di sorveglianza. Un altro attacco ha sfruttato i log TACACS per cancellare il firmware da switch e router. Un attacco che è costato caro all’azienda, di matrice russa secondo quanto riferito dalla cyber agenzia francese. La ragione però non è mai stata chiara e si sospetta che fosse un test di guerra cibernetica su una tipologia di servizi, quello televisivo, mai adottata fino a quel momento.


Assalto alle banche


Nel maggio 2015, la società di sicurezza root9B ha pubblicato un rapporto su Fancy Bear nel maggio 2015, annunciando la sua scoperta di un attacco di spear phishing mirato rivolto alle istituzioni finanziarie. Il rapporto ha elencato le istituzioni bancarie internazionali che sono state prese di mira, tra cui la United Bank for Africa, Bank of America, TD Bank, e UAE Bank. Sempre secondo gli scopritori, il malware utilizzato portava la stessa firma di altri impiegati dal gruppo militare russo


Guerra cibernetica per colpire il Patto Atlantico


Nell’agosto 2015, Fancy Bear ha utilizzato un exploit zero-day di Java, spoofando la Electronic Frontier Foundation e lanciando attacchi alla Casa Bianca e alla NATO. Gli hacker hanno utilizzato un attacco di spear phishing, indirizzando le e-mail al falso URL electronicfrontierfoundation.org

Attacchi ai giochi olimpici con l’infamia del doping


Un anno dopo l’attacco alla Nato, agosto 2016, la World Anti-Doping Agency ( Agenzia mondiale contro il doping) ha segnalato la ricezione di e-mail di phishing inviate agli utenti del suo database che sostenevano di essere comunicazioni ufficiali dell’agenzia e che richiedevano i loro dati di accesso. Dopo aver esaminato i due domini forniti dalla WADA, si è scoperto che le informazioni di registrazione e di hosting dei siti web erano coerenti con il gruppo di hacking russo Fancy Bear. Secondo la WADA, alcuni dei dati che gli hacker hanno rilasciato erano stati falsificati. La matrice russa era più che probabile visto il contesto storico delle Olimpiadi di Rio 2016 dove gli atleti di Putin erano stati esclusi proprio per motivi di Doping ed hanno provato a ricambiare con la stessa moneta pubblicando una lista di atleti famosi come le tenniste e sorelle Williams, che avevano ricevuto esenzioni dal doping per motivi terapeutici.

I funzionari della International Association of Athletics Federations (IAAF) hanno dichiarato nell’aprile 2017 che i suoi server erano stati violati dal gruppo “Fancy Bear” da almeno due mesi grazie ad un accesso remoto non autorizzato ai server della IAAF , avendo accesso alle applicazioni di Therapeutic Use Exemption, necessarie per utilizzare farmaci vietati dalla WADA

Nel gennaio 2018, un profilo online denominato “Fancy Bears Hack Team” ha fatto trapelare quelle che sembravano essere email rubate del Comitato Olimpico Internazionale (CIO) e del Comitato Olimpico degli Stati Uniti, datate dalla fine del 2016 all’inizio del 2017, sono trapelate in apparente ritorsione per il divieto del CIO di atleti russi dalle Olimpiadi invernali del 2018 come sanzione per il programma di doping sistematico della Russia.

Anche la Confederazione sportiva svedese ha riferito che Fancy Bear ha attaccato i loro archivi contenenti le registrazioni dei test antidoping degli atleti ad essa iscritti. Sul fronte del doping, i russi sono stati sempre molto attivi tanto da prendere di mira la Berlinger Group, azienda impegnata nel settore dei test antidroga sportivi.

Dagli USA è arrivata nell’ottobre 2018 un’incriminazione da parte di un gran giurì federale degli Stati Uniti destinata a di sette uomini russi, tutti ufficiali del GRU, in relazione a svariati attacchi ed in particolare agli atleti russi coinvolti nei giochi olimpici.


La strage aerea del Malaysia Airlines


Colpevoli di aver diffuso le prove del tragico schianto aereo del volo 17 in dotazione alla Malaysia Airlinies, gli hacker russi di Fancy Bear hanno attaccato i giornalisti associati al gruppo editoriale Bellingcat con falsi avvisi Gmail di compromissione della sicurezza che utilizzavano links abbreviati come bit.ly ed i server di origine furono classificati come già utilizzati dall’atp28 in incursioni precedenti. Sempre in merito alla vicenda del volo abbattuto costato la vita a centinaia di civili, il gruppo ha preso di mira il Dutch Safety Board, l’organismo che conduce l’indagine ufficiale sullo schianto, prima e dopo la pubblicazione del rapporto finale della commissione. Hanno creato falsi server SFTP e VPN per imitare i server del consiglio, probabilmente allo scopo di spearphishing di nomi utente e password, ma questa volta senza successo.

Commenti da Facebook

Inchieste

Fin7: Boostwrite, Jssloader e le assunzioni via Linkedin. La storia recente dell’apt finanziario russo

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Siamo arrivati all’ultimo capitolo della Guerra Cibernetica Russa con il gruppo APT FIN7 famoso negli attacchi di natura finanziaria di cui abbiamo già snocciolato l’attività criminale portata avanti dal 2015 fino al 2018. Nonostante gli arresti effettuati dalla polizia di Seattle nei confronti di tre cittadini ucraini, l’attività del gruppo è continuata ed ha eseguito un nuovo attacco nel 2019 con nuovi strumenti: una abilità questa riconosciuta al gruppo e storicamente sempre più consolidata nella storia della cybersecurity.

L’attacco legittimo passato inosservato per anni

Uno degli attacchi più interessanti dal punto di vista tecnologico del gruppo è stato sicuramente quello conosciuto come Boostwrite. Si parla di un dropper che ha il compito di spianare la strada ai payload che vengono installati nelle macchine dei malcapitati con il fine di eseguire azioni malevole. Grazie alla piattaforma di protezione informatica di enSilo, che ha eliminato diversi file malevoli, si è scoperto il modo con cui si installavano le backdoor in modo tale da assumere una forma legittima agli occhi di Microsoft Windows, poiché l’attaccante infieriva nella modifica dell’ordine di ricerca della DLL per sostituire la propria DLL dannosa che in alcuni casi era Carbanak, collegata al gruppo noto come FIN7.

Successivamente, si è approfondita la tipologia di attacco e si è notato che, una volta andato a buon fine, è stato utilizzato il rat RDFSNIFFER per collegarsi in modo abusivo al server infetto dopo che BOOSTWRITE decrittografa  i payload incorporati, utilizzando una chiave di crittografia recuperata da un server remoto in fase di esecuzione. Mentre CARBANAK è stato analizzato a fondo ed è stato utilizzato in modo dannoso da diversi aggressori finanziari tra cui FIN7, RDFSNIFFER è uno strumento identificato successivamente ed è stato recuperato dagli investigatori di Mandiant e sembra essere stato sviluppato per manomettere il client “Aloha Command Center” di NCR Corporation. NCR Aloha Command Center è un set di strumenti di amministrazione remota progettato per gestire e risolvere i problemi dei sistemi all’interno dei settori di elaborazione delle carte di pagamento che eseguono Command Center Agent. Il malware viene caricato nello stesso processo del processo di Command Center abusando dell’ordine di caricamento della DLL legittima di Aloha.

Dalla fantasia alla realtà del BadUSB

Una azienda turistica statunitense ha ricevuto un attacco BadUSB, definito incredibilmente raro, dopo aver ricevuto una busta contenente una carta regalo BestBuy falsa con all’interno una chiavetta USB. Alla società ricevente è stato detto di collegare la chiavetta USB a un computer per accedere a un elenco di articoli con cui si poteva utilizzare la carta regalo.

Un chiavetta identificata successivamente dagli esperti di sicurezza come “BadUSB“: che funziona effettivamente come una tastiera quando è collegata a un computer, perchè emula la pressione dei tasti per lanciare vari attacchi automatici, attivando una serie di pressioni di tasti automatizzate che hanno lanciato un comando PowerShell, che a sua volta ha scaricato uno script PowerShell più voluminoso da un sito Internet con l’obiettivo di installare un malware sulla macchina di prova, un bot basato su JScript.

Nonostante si pensasse al BadUSB come un attacco meramente teorico seppur possibile, descritto per la prima volta all’inizio degli anni 2010 e per molti anni hanno rappresentato uno scenario di attacco teorico su cui i dipendenti vengono spesso avvertiti, FIN7 è stato capace di renderlo realtà dopo che l’ultimo caso è stato registrato su delle macchine Raspberry in alcune banche dell’est Europa nel 2018.

Da Apt specializzato in sniffing ad una stretta collaborazione con il gruppo Ransomware

Nel 2020 Truesec ha osservato un utente malintenzionato che ha utilizzato gli strumenti e le tecniche di FIN7, incluso il CARBANAK RAT, per impossessarsi della rete di un’impresa. In un successivo attacco, quasi sei settimane dopo, questo punto d’appoggio è stato utilizzato per distribuire il ransomware RYUK sulla rete della vittima.

Questo attacco segna la prima di una lunga serie che Truesec ha osservato sulla combinazione di strumenti FIN7 e il ransomware RYUK, indicando un cambiamento nel modello degli attacchi FIN7. Finora FIN7 non è storicamente associato ad attacchi ransomware. Ciò suggerisce ad una più stretta collaborazione tra FIN7 e il gruppo RYUK, noto anche come WIZARD SPIDER o FIN6, rispetto a quanto precedentemente segnalato da Truesec.

Il ragionamento più diffuso è che FIN7 abbia semplicemente venduto l’accesso al gruppo RYUK, ma è probabile anche che FIN7 e WIZARD SPIDER siano strettamente affiliati e possano far parte della stessa rete criminale organizzata, ma questo ad oggi non è stato dimostrato con certezza e prove evidenti.

Un attacco Jssloader

Verso la fine del 2020, un attacco di tipo jssloader è stato identificato e svelato in parte, essendo coperto da mille misteri ancora irrisolti.  Morphisec Labs nel suo report ha presentato una catena di attacchi che è stata intercettata e prevenuta all’interno della rete di un cliente nell’ultimo mese del 2020, riconducibile al metodo messo in campo da FIN7, concentrata sul JSSLoader. Sebbene JSSLoader sia ben noto come .NET RAT ridotto a icona, non sono stati resi pubblici molti dettagli relativi a varie funzionalità come l’esfiltrazione, la persistenza, l’aggiornamento automatico, il download di malware e altro. Inoltre, nelle molte occasioni in cui viene citato JSSLoader, ci sono pochi dettagli sulla catena di attacco completa di questo end-to-end.

Windows 11 è già un obiettivo più che concreto

Anomali Threat Research ha condotto un’analisi sui file dannosi di documenti Microsoft Word (.doc) a tema su Windows 11 Alpha ed ha valutato con moderata sicurezza che questi documenti Word facevano parte di una campagna condotta dal gruppo di minacce FIN7. L’obiettivo del gruppo sembra essere stato quello di fornire una variante di una backdoor JavaScript utilizzata da FIN7 almeno dal 2018. La catena dell’infezione è iniziata con un documento Microsoft Word (.doc) contenente un’immagine esca che affermava di essere stata creata con Windows 11 Alpha. L’immagine chiede all’utente di abilitare la modifica e abilitare il contenuto per iniziare la fase successiva dell’attività. Analizzando il file è stato possibile vedere una macro VBA popolata con dati spazzatura come commenti. Una volta che il contenuto/modifica è stato abilitato, la macro viene eseguita. I dati spazzatura sono una tattica comune utilizzata dagli attori delle minacce per impedire l’analisi. Una volta rimossi questi dati spazzatura, rimane una macro VBA. Il VBScript prende i valori codificati da una tabella nascosta all’interno del file .doc., successivamente gli stessi valorivengono decifrati con una funzione e poi vengono deoffuscati utilizzando un codice XOR. Si passa poi ai controlli linguistici e se vengono rilevate alcune lingue, viene adoperata la funzione me2XKr che elimina la tabella e interrompe l’esecuzione se accerta la presenza di macchine virtuali. Lo script verifica successivamente il dominio CLEARMIND, che sembra fare riferimento al dominio di un fornitore di servizi POS (Point-of-Sale).

I controlli includono:

  • Nome a dominio, in particolare CLEARMIND
  • Lingua, se una delle lingue elencate Lingua del codice russo, ucraino, Russo-Moldavia, sorabo, slovacco, sloveno, estone, serbo, serbo (latino).
  • Preferenza lingua chiave di registrazione per il russo
  • Macchina virtuale – VMWare, VirtualBox, innotek, QEMU, Oracle, Hyper e Parallels, se viene rilevata una VM lo script viene interrotto
  • Memoria disponibile, se è inferiore a 4 GB, non procedere
  • Verifica RootDSE tramite LDAP

Se i controlli sono soddisfacenti, lo script procede alla funzione in cui un file JavaScript denominato word_data.js viene trascinato nella cartella TEMP. Tuttavia, se vengono rilevati i controlli della lingua e della macchina virtuale, la tabella si elimina e non passa al payload JavaScript. Questo file JavaScript è anche pieno di dati spazzatura. Ancora una volta rimossi i dati spazzatura per analizzare il JavaScript si notano stringhe offuscate. Il file JavaScript contiene anche una funzione di deoffuscamento. Analizzando la funzione di cifratura XOR, “ben9qtdx4t” è la chiave utilizzata per decrittografare le stringhe nel file JavaScript (word_data.js). L’offuscamento viene effettuato utilizzando un cifrario a sostituzione che va da A a K. Dopo aver sostituito i valori offuscati con le stringhe deoffuscate, la backdoor Javascript sembrerebbe avere funzionalità simili con altre backdoor utilizzate da FIN7.

Cercasi Reclute disperatamante

A una fonte della società Gemini è stata offerta una posizione come specialista IT presso un’azienda nota come “Bastion Secure Ltd“, una “società” di sicurezza informatica alla ricerca di programmatori C++, Python e PHP, amministratori di sistema e reverse engineer. Una ricerca su Google ha restituito un sito Web apparentemente legittimo, ma l’analisi ha rivelato che si tratta di una società di sicurezza informatica fittizia gestita da un gruppo di criminali informatici. Durante il processo di test intrapreso dalla fonte, sono stati dati diversi gli strumenti impiegati ed i compiti assegnati alla fonte Gemini da FIN7 (che opera sotto le spoglie di Bastion Secure), ci si è accorti che le procedure corrispondevano alla preparazione di un attacco ransomware e questo ha fatto intendere che le dimensioni di un gruppo criminale, noto a tutti per aver lucrato più di un miliardo di dollari in circa dieci anni, sono cresciute anche grazie a civili coinvolti in una sorta di Linkedin criminale.

Commenti da Facebook
Prosegui la lettura

Inchieste

Asl Napoli 3 vittima dei 54bb47h. Coinvolti nell’attacco Hyper-V di Windows e Paloaltonetworks

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

La Asl Napoli 3 Sud è stata vittima di un attacco informatico definito ‘sinistro’ dallo stesso ente pubblico. Una notizia di pochi giorni che attendeva una rivendicazione da parte di una ransomware gang e così è stato come comunicato da insicurezzadigitale che ha identificato gli aggressori nel gruppo .

Arrivati sul blog della gang notiamo la curiosa scritta “Asl Napoli 3 seized” che rimanda alle operazioni di polizia internazionale quando si mettono i sigilli ai siti illegali che nella maggior parte dei casi si trovano nel dark web.

Come hanno fatto?

L’aspetto interessante di questo attacco è che il gruppo ha spiegato come ha fatto ad insinuarsi nel sistema della sanità campana, restituendo al lettore una idea di attacco dimostrativo seppur non lo sia, ed è comprensibile che la responsabilità non solo sia della società che offre i servizi al datacenter regionale campano, ma, come prevedibile, una falla nello sviluppatore del servizio informatico che ha due nomi altisonanti nel panorama internazionale dello sviluppo software.

L’attacco risale al 7 gennaio e durante l’attività di aggressione sono stati rubati tutti i dati personali, database, documenti finanziari e altri dati importanti, di cui è stato rilasciato un sampler di 1,5 gb. Successivamente all’esfiltrazione dei dati “le macchine virtuali su 42 server HYPER-V sono state criptate con un protocollo di crittografia di livello militare, per un totale di circa 240 macchine virtuali basate su windows, linux e altri sistemi operativi“. Il colpo, secondo gli aggressori, avrebbe messo giù il 90% di tutta la loro infrastruttura essenziale ed alcuni dei loro sistemi erano protetti dal sistema IDS Cortex XDR della paloaltonetworks e questo fa intendere che ad essere stata aggirata non sia solo la società dei servizi regionali, ma una rete di assistenza alla cybersecurity sviluppata da una multinazionale.

Matrice Digitale ha pubblicato un avviso dell’intelligence americana nei giorni precedenti con delle vulnerabilità da tenere presente per evitare attacchi indesiderati dai “russi” e non vi è alcun riferimento ad Hyper-v: sistema nativo di creazione delle macchine virtuali sui server Windows.

Cosa hanno preso?

Il Sampler diffuso mostra che il danno è notevole. In un solo giga e mezzo è stato possibile notare come ci siano dati sanitari di psicologi, pazienti oncologici, achivi del personale, dati dei diversi distretti dell’azienda sanitaria. Una ecatombe se consideriamo che ci troviamo dinanzi ad una goccia diffusa di quanto sia stato completamente esfiltrato prima del processo di criptazione con il fine di effettuare quello che in ambito del crimine informatico si chiama doppia estorsione.

Il famoso ‘sinistro’ informatico

Il gruppo mette alle strette la società che sta gestendo, o dovrebbe gestire, la trattativa e da un tempo di 2-3 giorni per risolvere la questione altrimenti “pubblicheremo tutti i dati e decripteremo le chiavi”

Dal report pubblicato, ad essere entrati in sofferenza sono stati i domain controller di Nola, Brusciano e Sorrento, gestiti dal datacenter regionale di Don Bosco che si trova nella parte est di Napoli. Tra i server, figurano non solo versioni di Windows server 2012 o 2016, ma anche 2003 che è uscito fuori assistenza e quindi potenzialmente vulnerabile.

Le minacce dopo il primo stop di ReVil

Resta ovviamente da capire come mai si possa essere arrivati a questo “fail” informatico, dopo le azioni criminali ai danni della sanità del Lazio e del comune di Torino ad opera del gruppo Conti, ma è chiaro che la minaccia mossa non molto tempo addietro ai danni della sanità italiana da un pool di ransomware gangs è ancora persistente. Secondo indiscrezioni raccolte da Matrice Digitale, la palla dovrebbe passare ad una trattativa non più tra assicurazione, Polizia postale e criminali, smentita in ogni caso comunque, bensì è prevista la fattiva ingerenza dell’intelligence italiana visti i dati sensibili coinvolti nell’attacco e la mancanza di un prezzo fissato per il riscatto ed è molto probabile che questa vicenda finirà nel silenzio o con un “abbiamo risolto facendo un backup”. In questo caso, recuperare il danno richiede tempi lunghi, trattandosi di diversi terabyte di dati compromessi.

Commenti da Facebook
Prosegui la lettura

Inchieste

FIN7: una “società” da 1,5 miliardi di fatturato specializzata in attacchi APT

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Si chiude il nostro approfondimento con la Guerra Cibernetica ad opera di Madre Russia e precisamente con il gruppo APT definito come quello di maggior successo nel mondo, a cui dedicheremo due articoli per via delle numerose informazioni reperibili in rete. FIN7 è il nome di un gruppo attivo dal 2015 che in questi anni ha ottenuto diversi nomignoli come, Gold Niagara, Calcium, Navigator, ATK 32 , APT-C-11, ITG14 e TAG-CR1.

FIN7 è dedito alle minacce finanziarie ed in questi anni ha preso di mira i settori della vendita al dettaglio, della ristorazione e del turismo degli Stati Uniti a partire dalla metà del 2015. L’APT utilizza malware che infettano i punti vendita. La cosa che si differenzia dagli attori russi analizzati fino ad oggi, è che il gruppo sia più dedito ad azioni finanziare che di spionaggio ed è curioso constatare come una parte di FIN7 sia stata gestita da una società di facciata chiamata Combi Security e che l’importo di un miliardo di dollari guadagnato dall’attività criminale con il malware Cabarnak è imputato a loro.

Alla fine di febbraio 2017, FireEye as a Service (FaaS) ha identificato una campagna di spear phishing che sembrava prendere di mira il personale coinvolto nei documenti della Securities and Exchange Commission (SEC) degli Stati Uniti presso varie organizzazioni. Tutti i destinatari previsti osservati della campagna di spear phishing sembravano essere coinvolti nei documenti depositati dalla SEC per le rispettive organizzazioni.

Nel marzo 2017 invece è stata scoperta una campagna di attacco malware senza file rivolta a istituzioni finanziarie, agenzie governative e altre imprese sono state collegate allo stesso gruppo di attacchi. La tipologia dell’attacco inizia con e-mail di phishing che prendono di mira le organizzazioni che utilizzano un documento Word protetto, spedito con il fine di invitare l’utente ad abilitare il contenuto. In tal modo, la vittima esegue una macro incorporata nel documento che lancia un comando PowerShell utilizzando Strumentazione gestione Windows, infrastruttura utilizzata per automatizzare attività su macchine remote. La cosa curiosa è che i ricercatori di Morphosec hanno avuto un contatto diretto con il gruppo dopo averli spiati per giorni ed è ancora più interessante il fatto che, una volta scoperti, sono riusciti ad eliminare le tracce del proprio lavoro.

Nell’aprile del 2017 è stata identificata una nuova campagna che ha mostrato una nuova tecnica adoperata da FIN7 per mettere a segno tecniche di phising per implementare meccanismi di infezione e persistenza unici. FIN7 si è allontanato dalle macro malevoli di Microsoft Office per eludere il rilevamento. In questo giro, le esche generate dall’attività di phishing hanno implementato file di collegamento nascosti (file LNK) per avviare l’infezione e la funzionalità VBScript lanciata da mshta.exe per infettare la vittima. In questa campagna, FIN7 ha preso di mira le organizzazioni con e-mail di spear phishing contenenti un file DOCX o RTF dannoso: due versioni dello stesso file LNK e tecnica VBScript , che sono stati aggiornati di continuo, nonostante i successi ottenuti.

Nel giugno 2017 viene  identificato un nuovo attacco di tipo fileless altamente sofisticato che ha preso di mira il settore della ristorazione negli Stati Uniti. La campagna di attacco ha consentito ai criminali informatici di prendere il controllo del sistema e di installare una backdoor per rubare informazioni finanziarie a piacimento, comprendendo tra l’altro alcune tecniche evasive mai viste prima e che gli hanno consentito di aggirare la maggior parte delle soluzioni di sicurezza, basate su firme e analisi di comportamento. L’indagine di Morphisec ha rivelato una corrispondenza quasi perfetta con i metodi di attacco FIN7 realizzati precedentemente verso banche, personale SEC, grandi catene di ristoranti e organizzazioni di ospitalità.  Anche in questo caso, il vettore di attacco è stato un documento Word dannoso allegato a un’e-mail di phishing, ben strutturato perché ben adattato all’attività mirata dei destinatari dell’attacco. Il documento Word impiegato ha eseguito un attacco di tipo “senza file” che utilizza query DNS per fornire la fase successiva dello shellcode (Meterpreter). I dati di indagine di OpenDNS, condivisi in coordinamento con il Cisco Advanced Threat Research & Efficacy Team, hanno mostrato che si è trattato di un attacco su larga scala con picchi di oltre 10.000 richieste DNS all’ora. In poche parole, mastodontico.

Proprio pochi mesi dopo, nel luglio 2017, è stata individuata una nuova backdoor JScript chiamata Bateleur e con macro aggiornate al suo toolkit. E’ stato osservato da più parti che questi nuovi strumenti sono stati utilizzati per colpire catene di ristoranti con sede negli Stati Uniti ed è stato esteso l’attacco ad altre organizzazioni prese di mira nel campo del turismo, dei rivenditori, dei servizi commerciali e dei fornitori. Si è scoperto che le nuove macro e la backdoor di Bateleur utilizzavano sofisticate tecniche di anti-analisi ed evasione sandbox mentre tentavano di occultare le loro attività.

Sempre nel 2017, Mandiant ha dichiarato di aver risposto a molteplici incidenti attribuiti a FIN7 per via dell’utilizzo della backdoor CARBANAK, che ha sorpreso in questo caso per il modo con cui è stata installata. I ricercatori hanno identificato che il gruppo ha sfruttato un database di shim. Lo shim ha iniettato una patch in memoria dannosa nel processo Services Control Manager (“services.exe”), quindi ha generato un processo backdoor CARBANAK. Una tecnica utilizzata per installare una utility di raccolta delle carte di pagamento per l’accesso permanente.

Tra l’8 e il 10 ottobre 2017, un altro attacco sferrato con un impeto notevole è stato addebitato a FIN7 ed anche questa volta si è notata la grande capacità del gruppo di generare modifiche strutturali al suo vettore infettivo ed alla sua capacità di essere offuscato nei sistemi di rilevamento messi in piedi dalle maggiori società di sicurezza informatica.

I primi arresti

Tre importanti membri collegati alla banda del crimine informatico FIN7 sono stati arrestati nel gennaio 2018 per accuse depositate presso la Corte distrettuale degli Stati Uniti a Seattle. Secondo tre capi di imputazione, i cittadini ucraini Dmytro Fedorov, 44, Fedir Hladyr, 33 e Andrii Kolpakov, 30, sono stati indicati come attivi nell’organizzare una campagna malware altamente sofisticata rivolta a più di 100 aziende statunitensi, principalmente nei settori della ristorazione, dei giochi e del turismo. Come indicato nelle accuse, FIN7 ha violato migliaia di sistemi informatici e rubato milioni di numeri di carte di credito e di debito dei clienti, che il gruppo ha utilizzato o venduto a scopo di lucro nei canali del dark web. Nella conta dei danni, secondo l’accusa FIN7 ha violato con successo le reti informatiche di aziende in 47 stati, rubando oltre 15 milioni di record di carte dei clienti da oltre 6.500 terminali di punti vendita individuali in più di 3.600 sedi aziende diverse. Ulteriori intrusioni si sono verificate all’estero, anche nel Regno Unito, in Australia e in Francia.

Il gruppo non si è fermato

Nonostante gli arresti, l’attività del gruppo è proseguita e da maggio a luglio 2018 con una campagna collegata ad un nuovo pannello amministrativo ed a campioni di malware inediti utilizzando una backdoor sempre collegata a Carbanak. Il gruppo, per perseguire i suoi scopi ha utilizzato una società di facciata chiamata Combi Security, utilizzata per reclutare nuovi hacker, e su cui si è concentrata l’attività del Dipartimento di Giustizia americano. Gli analisti di Flashpoint hanno poi scoperto un nuovo pannello di attacco utilizzato dal gruppo nelle campagne denominate Astra. Il pannello, scritto in PHP, funziona come un sistema di gestione degli script, che  spinge precisamente gli stessi script di attacco verso i computer compromessi. Gli aggressori ottengono un punto d’appoggio iniziale su macchine mirate tramite e-mail di phishing contenenti allegati dannosi. Le e-mail sono spesso specifiche del settore e create per invogliare una vittima ad aprire il messaggio ed ad eseguire il documento allegato. Uno dei documenti diffonde ciò che gli analisti chiamano SQLRat, malware mai visto fino a quel momento che rilasciava file ed eseguiva script SQL sul sistema host. L’uso di script SQL si è rivelato ingegnoso in quanto non ha lasciato oggetti come fa il malware tradizionale. Una volta eliminati dal codice degli aggressori, non è rimasto nulla da recuperare per le ricerche forensi. Questa tecnica non è stata osservata nelle precedenti campagne associate a FIN7. Il secondo nuovo tipo di malware scoperto è una backdoor multiprotocollo chiamata DNSbot, che viene utilizzata per scambiare comandi e inviare dati da e verso le macchine compromesse. Principalmente, opera sul traffico DNS, ma può anche passare a canali crittografati come HTTPS o SSL, come scoperto sempre dagli analisti di Flashpoint.

Commenti da Facebook
Prosegui la lettura
abbonati gratis a Matrice Digitale
segnalaci un sito truffa, scam, phishing

Tendenza