La notizia è passata completamente sotto silenzio in tutti (o quasi) i blog italiani specializzati, (newsletter incluse) eppure è una notizia pesante, che ha notevoli risvolti e che dovrebbe allertare le agenzie governative di cybersicurezza di tutto il mondo, inclusa quella italiana.
Fino a ieri le grang dedite al crimine informatico utilizzavano tool a pagamento per realizzare i loro attacchi, oggi migrano verso l’opensource. E la cosa non è certo da sottovalutare per diversi motivi. Il primo è che il popolare Cobalt Strike, ad esempio, era reperibile a pagamento cosa che poteva costituire un deterrente ed un “ostacolo” alla sua diffusione: oggi invece sono disponibili strumenti equivalenti completamente gratuiti, e questo, inevitabilmente amplia la platea degli “utenti” cattivi.
Il secondo è che dopo anni trascorsi a difenderci dagli attacchi di Cobalt Strike bisognerà cambiare registro per imparare a difernderci da Sliver, e nel frattempo molti cadranno tra le sue spire.
Il terzo è che l’opensource può contare su potenziali infinite varianti, un pò come accadde con Mirai: il codice di un malware reso disponibilie sulla rete, infatti, è suscettibile di molteplici modifiche, miglioramenti, specializzazioni, personalizzazioni che possono essere apportate da chiunque voglia poi rilanciarlo e ridistribuirlo con nuove e aggiornate funzionalità: questo tipo di “prodotti” rimangono in circolazione per anni e producono infiniti danni.
La notizia in questione è stata diffusa da Microsoft a fine Agosto 2022. Abbiamo “osservato che il framework Sliver command-and-control (C2) viene ora adottato e integrato nelle campagne di intrusione da parte di attori (hacker) nation state-sponsored, gruppi di criminalità informatica che supportano direttamente ransomware ed estorsioni e altri attori delle minacce per eludere il rilevamento”
In altre parole, per bucare un pc velocemente e senza troppo tergiversare gli hacker (criminali da strapazzo o esperti professionisti governativi) di solito ricorrono ad un “supermercato” dove scelgono di volta in volta le “armi” per attaccare, entrare nei computer di tutto il mondo allo scopo di diffondere e monetizzare le proprie illecite attività.
Quindi i ransomware, gli stealer, i keylogger e qualsiasi altra tipologia di virus, fino a ieri, venivano “confezionati” utilizzando i beacon del popolare Cobalt Strike. Oggi gli attori del crimine informatico stanno migrando verso nuove “armi” gratuite, che, per usare una metafora criminale, verranno selezionate dal piccolo spacciatore come dai grandi narcotrafficanti.
Il report di Microsoft, infatti, attesta, mostrando un esempio su tutti, che uno dei gruppi che ha adottatto Sliver è tracciato come DEV-0237. Gruppo conosciuto anche come FIN12, una gang criminale legata a diversi operatori di ransomware.
La banda ha distribuito payload di ransomware da vari operatori di ransomware in passato (Ryuk, Conti, Hive, Conti e BlackCat) tramite vari malware, tra cui BazarLoader e TrickBot.
Secondo un rapporto del Government Communications Headquarters (GCHQ) del Regno Unito, anche gli attori state-sponsored russi, in particolare APT29 (alias Cozy Bear, The Dukes, Grizzly Steppe) hanno utilizzato Sliver per mantenere l’accesso agli ambienti compromessi.
Ci sono altri segnali della diffusione di Sliver che non sono stati riportati in questo articolo che documentano come il fenomeno sia, comprensibilmente, in rapida ascesa.