I ricercatori della Symantec di Broadcom, che hanno dettagliato “il pezzo di malware più avanzato della Cina” l’ultimo giorno di febbraio, credono di aver rintracciato lo pseudonimo di uno dei suoi sviluppatori.
“Abbiamo dati che indicano lo sviluppo di questo strumento a una certa persona nei forum cinesi”, ha detto Vikram Thakur, direttore tecnico di Symantec Threat Intelligence.
Il malware, noto come Daxin, sconvolgerebbe molte ipotesi su come la Cina opera le sue operazioni di spionaggio. Tradizionalmente un attore che non si preoccupa eccessivamente dello stealth, Daxin è rimasto sotto il radar per un decennio o più.
Il basso profilo di Daxin è venuto da un abile dirottamento di Windows TCP per mascherare il traffico come legittimo, annunciato nel blog di febbraio, e un insieme limitato di obiettivi. Symantec è a conoscenza solo di “una o due” infezioni all’anno, ha detto Thakur, che è rimasto costante per tutta la durata del malware.
Il primo spiega come il malware Daxin, basato sui driver, si aggancia alla specifica Network Driver Interface di Windows. Il malware cerca un “byte magico” nella sezione dati dei pacchetti TCP. Daxin può anche raggiungere il suo gestore mettendo in scena una richiesta DNS e interpretando la risposta. Le connessioni iniziano uno scambio di chiavi per aprire un canale di comunicazione sicuro.
Il secondo blog dettaglia le comunicazioni avanzate tra i sistemi infetti in rete e rivela i valori di byte magici la Cina ne ha usati due nel tempo. Il malware è ottimizzato per istruzioni complesse che coinvolgono più macchine. Usando istruzioni limitate, un sistema potrebbe dire ad un secondo di usare un terzo come proxy per contattare un quarto.
Thakur ha detto che mentre il byte magico è un’interessante stranezza interna, gli attaccanti, ovviamente, cambieranno il valore dopo che è stato esposto. La migliore difesa per i difensori della rete è quella di cercare driver anomali e un uso insolito di PowerShell, che gli utenti di Daxin sfruttano nel corso del loro attacco.
Symantec ha attribuito il malware a un attore cinese affiliato al governo sulla base di sovrapposizioni di codice e un caso in cui Daxin è stato installato o tentato da attori attribuibili alla Cina, entrambi dettagliati nel blog di febbraio.
Thakur ha stimato che l’80% degli obiettivi erano governi legati agli interessi cinesi.
Come Symantec ha catalogato le infezioni, Thakur ha detto che il vettore per l’installazione in tutti i casi noti erano vulnerabilità note in programmi internet-facing. I casi sconosciuti hanno avuto origine su sistemi internet-facing.
