Si chiude il nostro approfondimento con la Guerra Cibernetica ad opera di Madre Russia e precisamente con il gruppo APT definito come quello di maggior successo nel mondo, a cui dedicheremo due articoli per via delle numerose informazioni reperibili in rete. FIN7 è il nome di un gruppo attivo dal 2015 che in questi anni ha ottenuto diversi nomignoli come, Gold Niagara, Calcium, Navigator, ATK 32 , APT-C-11, ITG14 e TAG-CR1.
FIN7 è dedito alle minacce finanziarie ed in questi anni ha preso di mira i settori della vendita al dettaglio, della ristorazione e del turismo degli Stati Uniti a partire dalla metà del 2015. L’APT utilizza malware che infettano i punti vendita. La cosa che si differenzia dagli attori russi analizzati fino ad oggi, è che il gruppo sia più dedito ad azioni finanziare che di spionaggio ed è curioso constatare come una parte di FIN7 sia stata gestita da una società di facciata chiamata Combi Security e che l’importo di un miliardo di dollari guadagnato dall’attività criminale con il malware Cabarnak è imputato a loro.
Alla fine di febbraio 2017, FireEye as a Service (FaaS) ha identificato una campagna di spear phishing che sembrava prendere di mira il personale coinvolto nei documenti della Securities and Exchange Commission (SEC) degli Stati Uniti presso varie organizzazioni. Tutti i destinatari previsti osservati della campagna di spear phishing sembravano essere coinvolti nei documenti depositati dalla SEC per le rispettive organizzazioni.
Nel marzo 2017 invece è stata scoperta una campagna di attacco malware senza file rivolta a istituzioni finanziarie, agenzie governative e altre imprese sono state collegate allo stesso gruppo di attacchi. La tipologia dell’attacco inizia con e-mail di phishing che prendono di mira le organizzazioni che utilizzano un documento Word protetto, spedito con il fine di invitare l’utente ad abilitare il contenuto. In tal modo, la vittima esegue una macro incorporata nel documento che lancia un comando PowerShell utilizzando Strumentazione gestione Windows, infrastruttura utilizzata per automatizzare attività su macchine remote. La cosa curiosa è che i ricercatori di Morphosec hanno avuto un contatto diretto con il gruppo dopo averli spiati per giorni ed è ancora più interessante il fatto che, una volta scoperti, sono riusciti ad eliminare le tracce del proprio lavoro.
Nell’aprile del 2017 è stata identificata una nuova campagna che ha mostrato una nuova tecnica adoperata da FIN7 per mettere a segno tecniche di phising per implementare meccanismi di infezione e persistenza unici. FIN7 si è allontanato dalle macro malevoli di Microsoft Office per eludere il rilevamento. In questo giro, le esche generate dall’attività di phishing hanno implementato file di collegamento nascosti (file LNK) per avviare l’infezione e la funzionalità VBScript lanciata da mshta.exe per infettare la vittima. In questa campagna, FIN7 ha preso di mira le organizzazioni con e-mail di spear phishing contenenti un file DOCX o RTF dannoso: due versioni dello stesso file LNK e tecnica VBScript , che sono stati aggiornati di continuo, nonostante i successi ottenuti.
Nel giugno 2017 viene identificato un nuovo attacco di tipo fileless altamente sofisticato che ha preso di mira il settore della ristorazione negli Stati Uniti. La campagna di attacco ha consentito ai criminali informatici di prendere il controllo del sistema e di installare una backdoor per rubare informazioni finanziarie a piacimento, comprendendo tra l’altro alcune tecniche evasive mai viste prima e che gli hanno consentito di aggirare la maggior parte delle soluzioni di sicurezza, basate su firme e analisi di comportamento. L’indagine di Morphisec ha rivelato una corrispondenza quasi perfetta con i metodi di attacco FIN7 realizzati precedentemente verso banche, personale SEC, grandi catene di ristoranti e organizzazioni di ospitalità. Anche in questo caso, il vettore di attacco è stato un documento Word dannoso allegato a un’e-mail di phishing, ben strutturato perché ben adattato all’attività mirata dei destinatari dell’attacco. Il documento Word impiegato ha eseguito un attacco di tipo “senza file” che utilizza query DNS per fornire la fase successiva dello shellcode (Meterpreter). I dati di indagine di OpenDNS, condivisi in coordinamento con il Cisco Advanced Threat Research & Efficacy Team, hanno mostrato che si è trattato di un attacco su larga scala con picchi di oltre 10.000 richieste DNS all’ora. In poche parole, mastodontico.
Proprio pochi mesi dopo, nel luglio 2017, è stata individuata una nuova backdoor JScript chiamata Bateleur e con macro aggiornate al suo toolkit. E’ stato osservato da più parti che questi nuovi strumenti sono stati utilizzati per colpire catene di ristoranti con sede negli Stati Uniti ed è stato esteso l’attacco ad altre organizzazioni prese di mira nel campo del turismo, dei rivenditori, dei servizi commerciali e dei fornitori. Si è scoperto che le nuove macro e la backdoor di Bateleur utilizzavano sofisticate tecniche di anti-analisi ed evasione sandbox mentre tentavano di occultare le loro attività.
Sempre nel 2017, Mandiant ha dichiarato di aver risposto a molteplici incidenti attribuiti a FIN7 per via dell’utilizzo della backdoor CARBANAK, che ha sorpreso in questo caso per il modo con cui è stata installata. I ricercatori hanno identificato che il gruppo ha sfruttato un database di shim. Lo shim ha iniettato una patch in memoria dannosa nel processo Services Control Manager (“services.exe”), quindi ha generato un processo backdoor CARBANAK. Una tecnica utilizzata per installare una utility di raccolta delle carte di pagamento per l’accesso permanente.
Tra l’8 e il 10 ottobre 2017, un altro attacco sferrato con un impeto notevole è stato addebitato a FIN7 ed anche questa volta si è notata la grande capacità del gruppo di generare modifiche strutturali al suo vettore infettivo ed alla sua capacità di essere offuscato nei sistemi di rilevamento messi in piedi dalle maggiori società di sicurezza informatica.
I primi arresti
Tre importanti membri collegati alla banda del crimine informatico FIN7 sono stati arrestati nel gennaio 2018 per accuse depositate presso la Corte distrettuale degli Stati Uniti a Seattle. Secondo tre capi di imputazione, i cittadini ucraini Dmytro Fedorov, 44, Fedir Hladyr, 33 e Andrii Kolpakov, 30, sono stati indicati come attivi nell’organizzare una campagna malware altamente sofisticata rivolta a più di 100 aziende statunitensi, principalmente nei settori della ristorazione, dei giochi e del turismo. Come indicato nelle accuse, FIN7 ha violato migliaia di sistemi informatici e rubato milioni di numeri di carte di credito e di debito dei clienti, che il gruppo ha utilizzato o venduto a scopo di lucro nei canali del dark web. Nella conta dei danni, secondo l’accusa FIN7 ha violato con successo le reti informatiche di aziende in 47 stati, rubando oltre 15 milioni di record di carte dei clienti da oltre 6.500 terminali di punti vendita individuali in più di 3.600 sedi aziende diverse. Ulteriori intrusioni si sono verificate all’estero, anche nel Regno Unito, in Australia e in Francia.
Il gruppo non si è fermato
Nonostante gli arresti, l’attività del gruppo è proseguita e da maggio a luglio 2018 con una campagna collegata ad un nuovo pannello amministrativo ed a campioni di malware inediti utilizzando una backdoor sempre collegata a Carbanak. Il gruppo, per perseguire i suoi scopi ha utilizzato una società di facciata chiamata Combi Security, utilizzata per reclutare nuovi hacker, e su cui si è concentrata l’attività del Dipartimento di Giustizia americano. Gli analisti di Flashpoint hanno poi scoperto un nuovo pannello di attacco utilizzato dal gruppo nelle campagne denominate Astra. Il pannello, scritto in PHP, funziona come un sistema di gestione degli script, che spinge precisamente gli stessi script di attacco verso i computer compromessi. Gli aggressori ottengono un punto d’appoggio iniziale su macchine mirate tramite e-mail di phishing contenenti allegati dannosi. Le e-mail sono spesso specifiche del settore e create per invogliare una vittima ad aprire il messaggio ed ad eseguire il documento allegato. Uno dei documenti diffonde ciò che gli analisti chiamano SQLRat, malware mai visto fino a quel momento che rilasciava file ed eseguiva script SQL sul sistema host. L’uso di script SQL si è rivelato ingegnoso in quanto non ha lasciato oggetti come fa il malware tradizionale. Una volta eliminati dal codice degli aggressori, non è rimasto nulla da recuperare per le ricerche forensi. Questa tecnica non è stata osservata nelle precedenti campagne associate a FIN7. Il secondo nuovo tipo di malware scoperto è una backdoor multiprotocollo chiamata DNSbot, che viene utilizzata per scambiare comandi e inviare dati da e verso le macchine compromesse. Principalmente, opera sul traffico DNS, ma può anche passare a canali crittografati come HTTPS o SSL, come scoperto sempre dagli analisti di Flashpoint.