GlassRAT, il Trojan che spia in gran segreto obiettivi commerciali

È stato individuato un programma Trojan per l’amministrazione remota, il quale, nel corso di questi ultimi tre anni, è stato utilizzato con parsimonia per la conduzione di attacchi informatici mirati; si tratta di un temibile software nocivo, che viene tuttora rilevato con notevole difficoltà dalla maggior parte dei programmi antivirus.

Il Trojan, denominato in codice GlassRAT, risulta provvisto di firma digitale; il relativo certificato appartiene ad una nota società cinese, specializzata nello sviluppo di prodotti software. Il RAT malevolo viene utilizzato per spiare determinati cittadini cinesi che lavorano nell’ambito di società commerciali; il malware in questione può essere inoltre associato ad altre campagne nocive, note sin dal 2012.

GlassRAT è stato individuato dai ricercatori di RSA Security nel corso delle indagini condotte riguardo ad un incidente informatico occorso all’inizio dell’anno corrente. Secondo gli esperti di RSA, si è rivelato essere vittima del Trojan un cittadino cinese che operava presso una multinazionale di primaria importanza. Non è stata ancora determinata la modalità attraverso la quale si è prodotta l’infezione; gli esperti non escludono l’eventualità di una campagna di phishing mirata, di un download malevolo di tipo drive-by o l’impiego di un ulteriore metodo abitualmente utilizzato per recapitare il malware in circostanze simili.

“Abbiamo avuto a disposizione soltanto una quantità limitata di dati, per poter effettuare le nostre analisi; in pratica, siamo riusciti ad identificare esclusivamente un’attività specifica all’interno della rete informatica di una società multinazionale, – dichiara Kent Backman, l’esperto di sicurezza IT a capo dell’indagine. – Si trattava, nella fattispecie, di traffico di comando e controllo (C&C), inviato dal dispositivo attraverso la linea utilizzata per la trasmissione dei comandi. La parte ricevente, al contempo, “esplorava” la rete in cui si trovava il computer laptop infetto. L’operazione in corso sembrava essere, a tutti gli effetti, una vera e propria raccolta di informazioni; si trattava, con ogni probabilità, della specifica funzione alla quale era adibito il Trojan RAT”.

Attualmente, il bersaglio principale dei malintenzionati è costituito da organizzazioni di natura commerciale; si tratta di un chiaro indizio, che lascia intravedere possibili scenari di spionaggio industriale. Ad ogni caso, una parte dell’infrastruttura C&C di GlassRAT era stata utilizzata, in precedenza, contro obiettivi la cui attività risulta indubbiamente essere di natura geopolitica.

“La velocità con la quale è di fatto mutata la scelta degli obiettivi – con il passaggio da precisi target geopolitici a specifici bersagli operanti nella sfera commerciale – ci induce a ritenere che ci troviamo di fronte ad un’ulteriore “divisione” di una grande organizzazione di hacking, la quale, per il momento, ha svelato soltanto alcune delle numerose carte di cui dispone”, – sostiene Backman.

Secondo quest’ultimo, RSA Security aveva già provveduto a caricare su VirusTotal, ed altre fonti, la firma YARA, pazientando poi alcuni mesi in attesa del verdetto. Solo al termine di tale operazione, i ricercatori hanno potuto concludere che l’infrastruttura di GlassRAT era stata ugualmente utilizzata per la conduzione di attacchi nei confronti dei governi delle Filippine e della Mongolia; nella circostanza, tuttavia, i malintenzionati avevano dispiegato altri malware, ovvero Mirage (MirageRAT), magicFire e PlugX.

“La finestra di sovrapposizione temporale, per ciò che riguarda l’utilizzo condiviso dell’infrastruttura, si è dimostrata relativamente breve; questo può far pensare ad un piccolo problema tecnico a livello di sistema di sicurezza di GlassRAT, a meno che non si sia trattato di una precisa scelta intenzionale, da parte degli operatori del Trojan, per un utilizzo congiunto dell’infrastruttura”, – scrivono i ricercatori nell’ambito del report da essi stilato.

RSA non ha rivelato il nome della società alla quale è stato illecitamente sottratto il certificato digitale; essa ha tuttavia reso noto che il certificato in questione è stato successivamente revocato. I malintenzionati hanno fatto uso dello stesso per firmare il dropper che si auto-distrugge una volta completato il processo di caricamento del malware principale sul computer-vittima. Durante l’installazione di GlassRAT, secondo gli esperti, l’utente visualizza una finestra di dialogo relativa al certificato, contenente il nome di un’applicazione sviluppata da una software house di Pechino; RSA riferisce che tale applicazione, del tutto legittima, è stata già scaricata da almeno 500 milioni di utenti.

“Possiamo indubbiamente confermare come l’utilizzo di tale malware contro una grande multinazionale si sia rivelato particolarmente efficace, ed abbia prodotto notevoli effetti – conclude Kent Backman. – Per anni, il software nocivo in causa non è stato individuato dai programmi antivirus; ovviamente, un impiego più ampio dello stesso da parte dei malintenzionati avrebbe potuto comportare maggiori probabilità di rilevamento del Trojan GlassRAT”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *