Un famigerato gruppo di hacker ha sviluppato una versione aggiornata di un malware progettato per integrarsi in reti compromesse e condurre attività di spionaggio. I ricercatori ESET hanno scoperto che il famigerato gruppo di spie informatiche Turla, probabilmente appoggiato dal governo russo, sta utilizzando un nuovo strumento nelle ultime campagne indirizzate alle ambasciate e ai consolati negli stati dell’ex unione sovietica. Questo nuovo tool cerca di ingannare le vittime nel tentativo di installare un malware in grado di sottrarre le informazioni sensibili ricercate dal gruppo Turla.
Da sempre queste spie digitali utilizzano l’ingegneria sociale (social engineering) per ingannare gli utenti e condurli all’esecuzione di falsi programmi di installazione di programmi noti come ad esempio Adobe Flash Player. Pur conservando nel tempo lo stesso modus operandi, il gruppo ha escogitato nuovi mezzi per raggiungere i propri scopi, proprio come dimostra l’ultima ricerca ESET. Attualmente i criminali stanno distribuendo una backdoor presentandola come un legittimo programma di installazione di Flash Player, ma in quest’occasione hanno aggiunto URL e indirizzi IP che sembrano realmente appartenere ad Adobe, inducendo le vittime a credere di scaricare il software direttamente dal sito adobe.com.
Le campagne che hanno sfruttato questo nuovo strumento sono iniziate già dal luglio del 2016 e presentano numerosi segni distintivi riconducibili al gruppo tra cui Mosquito (qui il white paper), una backdoor ideata dallo stesso gruppo di spie, e l’uso di indirizzi IP precedentemente collegati al gruppo. I ricercatori di ESET hanno diverse ipotesi sulle modalità con cui viene diffuso il malware legato a Turla. Certamente si può escludere a priori un coinvolgimento di Adobe. Non è noto come il malware di Turla abbia alterato gli aggiornamenti legittimi di Flash Player, né se sfrutti delle vulnerabilità di prodotti Adobe noti. È stata scartata anche la possibilità che il sito per il download di Adobe Flash Player sia stato compromesso.
Turla – si legge in un post sul blog - è in grado di utilizzare un sistema compromesso come gateway per eseguire ulteriori attacchi. I possibili vettori di attacco che i ricercatori ESET hanno considerato sono: • Una macchina all’interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale. • I criminali potrebbero compromettere il gateway di rete di un’azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l’intranet di questa organizzazione e Internet.
Turla – si legge in un post sul blog - è in grado di utilizzare un sistema compromesso come gateway per eseguire ulteriori attacchi. I possibili vettori di attacco che i ricercatori ESET hanno considerato sono: • Una macchina all’interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale. • I criminali potrebbero compromettere il gateway di rete di un’azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l’intranet di questa organizzazione e Internet.
• L’intercettazione del traffico potrebbe anche verificarsi a livello di provider dei servizi Internet (ISP), una tattica che – come evidenziato dalla recente ricerca ESET nelle campagne di sorveglianza che utilizzano spyware FinFisher – non è impossibile (lo spyware FinFisher ha molteplici funzionalità di spionaggio). • Le spie avrebbero potuto utilizzare anche un dirottamento BGP (Border Gateway Protocol) per reindirizzare il traffico a un server controllato da Turla, anche se questa tattica avrebbe probabilmente insospettito immediatamente i servizi di controllo Adobe o BGP. Una volta scaricato e avviato il falso programma di installazione di Flash, viene automaticamente installata una delle backdoor del gruppo.
Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un’app Web ospitata su Google Apps Script. È qualcosa che secondo i ricercatori dimostra come gli aggressori stiano tentando di rimanere il più furtivi possibile nascondendosi nel traffico di rete delle organizzazioni mirate. I ricercatori aggiungono anche che alcune delle vittime sono state infettate da altri malware relativi a Turla come ComRAT o Gazer, suggerendo che esiste un forte legame tra le campagne. ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete ed un controllo periodico sui sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l’identificazione euristica dei malware.
Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un’app Web ospitata su Google Apps Script. È qualcosa che secondo i ricercatori dimostra come gli aggressori stiano tentando di rimanere il più furtivi possibile nascondendosi nel traffico di rete delle organizzazioni mirate. I ricercatori aggiungono anche che alcune delle vittime sono state infettate da altri malware relativi a Turla come ComRAT o Gazer, suggerendo che esiste un forte legame tra le campagne. ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete ed un controllo periodico sui sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l’identificazione euristica dei malware.
Fonte: Ketchum Italia
Nessun commento:
Posta un commento