I cyber-attaccanti altamente qualificati stanno utilizzando una tecnica mai vista prima per infettare furtivamente le vittime con malware abusando di strumenti legittimi. La campagna è stata descritta nei dettagli dai ricercatori di sicurezza informatica di Symantec, secondo i quali gli aggressori possono trascorrere più di 18 mesi all’interno delle reti delle vittime, adottando misure per garantire che la loro attività rimanga sotto il radar per evitare di essere scoperti in quella che si pensa sia un’operazione di raccolta di informazioni e spionaggio. Le modalità di inizio dell’attacco sono ancora incerte, ma le vittime vengono infettate da una forma di malware precedentemente non documentata, denominata Geppei, che viene utilizzata per fornire un’altra forma di malware backdoor, denominata Danfuan, che fornisce accesso segreto alle macchine compromesse, oltre alla possibilità di spiare i dati memorizzati o inseriti nei sistemi.
Gli aggressori hanno cercato di non farsi notare installando backdoor su dispositivi che non supportavano strumenti di sicurezza, come array SANS, bilanciatori di carico e controller di punti di accesso wireless. Ciò che rende unica questa campagna è il modo in cui Geppei abusa dei log di Internet Information Services (IIS) per rimanere inosservato, cosa che, secondo i ricercatori, non è mai stata utilizzata prima negli attacchi. I registri IIS fanno parte dei servizi del server Windows e sono comunemente utilizzati per la risoluzione dei problemi delle applicazioni web, oltre a fornire informazioni su come gli utenti interagiscono con i siti web e le applicazioni. Geppei legge i comandi da un registro IIS legittimo, che sono destinati a registrare i dati da IIS, come le pagine web e le applicazioni. In questo scenario, gli aggressori possono inviare comandi a un server web compromesso camuffandoli come richieste di accesso al web e, mentre IIS li registra come normali, il trojan può leggerli come comandi. I comandi letti da Geppei contengono file codificati dannosi che vengono salvati in una cartella arbitraria ed eseguiti come backdoor.
“L’uso dei registri IIS da parte dell’aggressore è uno degli aspetti più interessanti di questa campagna. La tecnica di lettura dei comandi dai registri IIS non è mai stata utilizzata dai ricercatori di Symantec in attacchi reali”, ha dichiarato a ZDNET Brigid O Gorman, senior intelligence analyst del Threat Hunter Team di Symantec. Gli attacchi sono collegati a un gruppo che Symantec chiama Cranefly, noto anche come UNC3524. I ricercatori suggeriscono che i metodi innovativi ed estremamente furtivi utilizzati in questa campagna indicano che si tratta del lavoro di un “attore di minacce abbastanza esperto”, motivato dalla raccolta di informazioni. “Lo sviluppo di malware personalizzato e di nuovi strumenti richiede un certo livello di competenze e risorse che non tutti gli attori delle minacce possiedono, quindi implica che coloro che si celano dietro Cranefly hanno un certo livello di competenze che li rende capaci di portare avanti cyberattacchi furtivi e innovativi”, ha dichiarato O Gorman. Symantec non ha collegato gli attacchi a nessun aggressore in particolare, ma i ricercatori di Mandiant hanno precedentemente notato che le metodologie utilizzate nelle campagne di Cranefly/UNC3524 “si sovrappongono alle tecniche utilizzate da diversi attori di spionaggio con sede in Russia”. La campagna non è diffusa, ma ciò non significa che non rappresenti un pericolo per le organizzazioni, soprattutto perché la campagna rimane attiva e i suoi promotori adottano nuove tecniche per nascondere gli attacchi. Tuttavia, è possibile intervenire per prevenire questo attacco e altre campagne informatiche dannose.
