Svelati i dettagli dell’attacco condotto in Svizzera dal gruppo APT Turla

Sino ad ora, le autorità svizzere hanno preferito non diffondere informazioni riguardo all’attacco informatico condotto nei confronti della società elvetica RUAG, contractor del locale Ministero della Difesa. I dettagli relativi al cyber-incidente in questione sono stati rivelati soltanto lunedì scorso, quando il CERT svizzero ha virtualmente sollevato il velo ed ha riferito in merito alle modalità e alle tecniche messe in atto dagli hacker per realizzare il loro piano.

Sebbene gli esperti di sicurezza IT non abbiano precisato quali siano stati, effettivamente, i dati sottratti, essi hanno reso di pubblico dominio un report in cui viene analizzato in maniera estremamente dettagliata il suddetto attacco mirato. È stato ad esempio appurato che, in qualità di strumento principale, i malintenzionati si sono avvalsi di malware riconducibile alla famiglia Turla, abbinato ad un sofisticato mix di Trojan e rootkit. Secondo le stime del CERT svizzero, i computer della società RUAG erano stati già infettati nel 2014; gli hacker hanno quindi agito senza alcuna fretta, operando tuttavia in maniera progressiva ed incredibilmente mirata.

Il grande pubblico è venuto a conoscenza di tale incidente informatico soltanto all’inizio del mese corrente. Il Ministro della Difesa svizzero, Guy Parmelin, aveva tuttavia riconosciuto l’operazione di hacking ed il conseguente furto di informazioni già qualche tempo prima, in occasione del Forum economico mondiale tenutosi a Davos nello scorso mese di gennaio.

Secondo il CERT elvetico, l’attacco portato nei confronti della società sopra menzionata, specializzata nel campo degli armamenti, è stato un vero e proprio atto di spionaggio. Gli aggressori hanno profuso ogni sforzo per far passare inosservato, più a lungo possibile, l’assalto da essi condotto; le prime intrusioni informatiche, di fatto, hanno assicurato loro la possibilità di avanzare ulteriormente all’interno della rete presa di mira. “Gli autori dell’attacco hanno mostrato grande pazienza e perseveranza, sia nell’introdursi all’interno del network, sia per quel che riguarda le mosse compiute successivamente, – constatano gli esperti. – Essi hanno attaccato soltanto gli obiettivi di loro interesse, implementando strumenti di vario genere, quali, ad esempio, elenchi mirati di indirizzi IP, e la creazione del fingerprint prima e dopo l’iniziale penetrazione nella rete”.

Una volta ottenuto l’accesso al network della società RUAG, gli attacker hanno iniziato a muoversi lateralmente, infettando altri dispositivi, ed innalzando i propri privilegi. “Uno dei target principali è risultato essere il servizio (Microsoft) Active Directory, il quale ha fornito ai malintenzionati l’opportunità di poter acquisire il controllo di ulteriori dispositivi, così come di accedere ai dati di loro interesse, sfruttando i necessari privilegi ed avvalendosi di policy di gruppo”, – scrivono nel loro report gli esponenti del CERT.

A giudicare dagli strumenti malevoli impiegati, l’attacco hacker nei confronti di RUAG è parte dell’estesa campagna APT denominata Epic Turla, i cui obiettivi principali sono rappresentati da enti governativi, ambasciate e istituzioni militari. Coloro che si celano dietro la campagna di cyber-spionaggio Epic Turla, analizzata in dettaglio dagli esperti di Kaspersky Lab già nel 2014, fanno uso, abitualmente, di un mix di spear phishing, exploit destinati a colpire Windows e Adobe Reader, ed attacchi di tipo waterhole, con impiego di elementi di ingegneria sociale.

Nel caso specifico, il CERT svizzero ha rilevato che il malware principale trasferiva i dati all’esterno della rete informatica presa di mira, verso numerosi server di comando e controllo. A loro volta, i server C&C provvedevano ad inviare nuovi comandi ai dispositivi infetti, per l’esecuzione di ulteriori task. Per evitare il possibile rilevamento, gli attacker avevano creato, nell’ambito della rete RUAG, un’intera gerarchia dei canali di comunicazione tra i dispositivi infetti. Alcune macchine, all’interno di tale sottorete peer-to-peer, agivano in funzione di router, mentre altre non disponevano di alcun output verso i C&C, per cui venivano semplicemente utilizzate come unità di lavoro.

I dettagli relativi all’attacco portato nei confronti della società svizzera RUAG mediante l’utilizzo del malware Turla, costituiscono un nuovo, prezioso materiale per Kaspersky Lab, che ha preso ampiamente nota di tale massiccia campagna di cyber-spionaggio. “L’utilizzo, da parte di questo gruppo APT, del tool BeEF, e le attività correlate a Google Analytics, confermano quanto da noi scoperto in precedenza; tali elementi si ritrovano, in effetti, nel report stilato riguardo ad Epic Turla. Ci riferiamo, in particolar modo, al fatto che Turla esegue un’attenta valutazione del sistema target da sottoporre ad attacco, dispiegando poi in maniera progressiva, all’interno dello stesso, ulteriori strumenti”, – afferma Kurt Baumgartner, Principal Security Researcher presso Kaspersky Lab. Baumgartner asserisce che, prima di realizzare l’infezione di un dispositivo, gli aggressori eseguono un esteso fingerprinting, per assicurarsi che il target sia effettivamente adatto agli scopi che questi ultimi si prefiggono. Successivamente, gli attacker allestiscono un attacco watering hole, introducendo appositi redirector.

“L’attacco basato sul metodo waterhole consiste, fondamentalmente, nel redirigere la vittima verso l’effettivo sito maligno, – affermano, da parte loro, gli svizzeri. – Nella circostanza, i redirector si rivelano essere di varia natura; secondo le osservazioni da noi effettuate, per adempiere a tale funzione, possono essere utilizzati gli URL brevi, così come appositi JavaScript mascherati sotto forma di script di Google Analytics. Il sito malevolo verifica se l’indirizzo IP della vittima è compreso nell’elenco dei potenziali bersagli; nel caso in cui venga trovata tale corrispondenza, esso restituisce lo script necessario per la creazione del relativo fingerprint”.

Il risultato così ottenuto viene inviato allo stesso server, per poi essere controllato manualmente. Se la macchina rientra nel novero degli specifici interessi degli attaccanti, questi ultimi provvedono ad infettare il computer target, utilizzando un exploit o tecniche di ingegneria sociale. “Il passo successivo è rappresentato dall’esecuzione di uno script ancor più complesso, per quel che riguarda l’operazione di fingerprinting, – scrivono più avanti, nel loro report, gli esperti del CERT elvetico. – Tale script cerca, da parte sua, di raccogliere il maggior numero possibile di informazioni riguardo alla vittima, utilizzando un JavaScript preso in prestito dal framework BeEF“.

Secondo Kurt Baumgartner, i tool che fanno parte del sofisticato set di strumenti unici utilizzato per la penetrazione all’interno del sistema, nell’ambito di Epic Turla, superano di gran lunga, per complessità, alcuni degli strumenti impiegati dagli attacker una volta che essi si trovano all’interno della rete. I loro successivi movimenti laterali, sebbene efficaci, non sono in effetti caratterizzati dall’ingegnosità di cui gli aggressori fanno prova nel cercare l’entry point. Per estendere la propria presenza all’interno del network informatico, gli hacker utilizzano una serie di strumenti comunemente accessibili: Mimikatz, Pipelist, Psexec, Dsquery, ShareEnum.

Gli esponenti del CERT svizzero, volutamente, non hanno iniziato a fare speculazioni sul tema della paternità dell’attacco. “In primo luogo, è di fatto impossibile reperire prove inconfutabili, – spiegano gli stessi nel loro report. – In secondo luogo, riteniamo che tale elemento non sia poi così importante: purtroppo, come è noto, sono davvero in molti coloro che fanno uso di malware e intrusioni di rete per perseguire le proprie mire”.

Co-autore del report stilato dal CERT della Confederazione Elvetica è MELANI (Centrale d’annuncio e d’analisi per la sicurezza dell’informazione), organismo creato nel quadro del programma nazionale svizzero adibito alla protezione contro i cyber-attacchi.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *