Damballa: Furtim e SFG sono lo stesso identico malware

Una nuova ricerca ha di fatto messo in dubbio tutto ciò che si sapeva, in precedenza, riguardo a Furtim, un malware comparso di recente, che si riteneva potesse attaccare i sistemi di controllo industriali utilizzati nell’ambito delle società operanti nel settore energetico. Secondo Damballa, il downloader Furtim e il dropper SFG, individuato dagli esperti solo poco tempo fa, sono, in pratica, due diversi “assemblaggi” di un unico programma, peraltro non provvisto di alcun codice speciale per la conduzione di attacchi informatici nei confronti degli ICS.

L’analisi condotta dai ricercatori che operano presso la suddetta società statunitense, specializzata in sicurezza IT, ha confermato come Furtim e SFG non siano soltanto malware simili, ma si rivelino essere, piuttosto, veri e propri “parenti stretti”. “Risultano differenti, in sostanza, solo le intestazioni HTTP, – ha dichiarato a Threatpost Don Jackson, senior threat researcher presso Damballa. – Gli header in questione presentano semplicemente valori diversi, e vengono scelti casualmente dal malware; è per tale motivo che, in rete, le diverse “istanze” dello stesso programma maligno non appaiono identiche”.

Un’indagine più approfondita riguardo a Furtim/SFG ha evidenziato che tale malware non si focalizza sui target riconducibili al settore energetico, come si riteneva in precedenza, ma cerca invece di infettare qualsiasi rete, nel tentativo di carpire le credenziali degli utenti. “Questo malware si diffonde attraverso varie modalità, quali, ad esempio, il drive-by download, le pubblicità malevole e i messaggi e-mail di spam, – riferisce Don Jackson. – Si rivela estremamente opportunistico ed “onnivoro”; sembra non avere alcuna specifica propensione per un particolare settore. Esso infetta semplicemente le macchine Windows, nel caso in cui riesca a penetrare all’interno di esse”.

A quanto pare, tutti sono stati in qualche modo “tratti in inganno” dal primo report pubblicato da SentinelOne riguardo al malware SFG: i ricercatori hanno ipotizzato, lo scorso 12 luglio, che il sample sottoposto ad analisi fosse di fatto destinato a colpire una società europea attiva nel settore elettroenergetico. Un paio di giorni dopo, SentinelOne ha provveduto ad aggiornare il proprio blog post: “La nostra pubblicazione, attraverso la quale era stata avanzata l’ipotesi che tale malware potesse prendere di mira i sistemi SCADA degli impianti adibiti alla produzione di energia, ha generato, purtroppo, numerosi fraintendimenti. Desideriamo pertanto sottolineare che non disponiamo di prove ed elementi atti a dimostrare che le cose stiano effettivamente in questa maniera. L’oggetto della nostra analisi era rappresentato dall’esaminare le funzionalità malevole del programma, e non le questioni inerenti alla paternità dello stesso o allo spettro dei target presi di mira”.

I principali compiti ai quali risulta preposto Furtim/SFG sono costituiti dall’occultare la propria presenza all’interno del sistema infetto, nei confronti del possibile rilevamento da parte delle soluzioni anti-malware; dall’esecuzione di exploit destinati alle vulnerabilità Windows CVE-2014-4113 e CVE-2015-1701; dal bypassare il servizio UAC (controllo account utente), che limita i privilegi dell’utente di Windows. “Il consistente numero e la sofisticata tipologia delle tecniche adottate dai malintenzionati testimoniano in maniera inequivocabile l’elevato livello tecnologico di tale malware, – afferma Don Jackson. – Esso fa uso di quasi tutti i metodi, a me noti, volti ad evitare il rilevamento e l’analisi. Sebbene questo programma malware non sia riconducibile ad un progetto sponsorizzato a livello di stati nazionali, occorre dire che tale software dannoso è stato indubbiamente ben concepito e progettato”.

Ricordiamo che Furtim è stato scoperto dai ricercatori di enSilo; il relativo report è stato pubblicato nello scorso mese di maggio. Secondo i dati di cui dispone Damballa, il nuovo arrivato sulla scena del malware, Furtim/SFG, si avvale della nota infrastruttura fast-flux di Dark Cloud; l’accesso a tale botnet viene abitualmente fornito in qualità di servizio. I numerosi nodi di cui si compone Dark Cloud operano in veste di proxy; a causa degli indirizzi che mutano in continuazione, risulta molto difficile poter determinare il numero degli stessi, e quindi procedere alla loro neutralizzazione.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *