Scoperta Gazer, la backdoor russa che spia ambasciate e consolati in Europa

I ricercatori di ESET hanno pubblicato i risultati di una ricerca condotta sulla backdoor Gazer – collegata al noto gruppo di cyber spionaggio russo Turla – che è stata utilizzata nell’ultimo anno in attacchi a consolati, ambasciate, ministeri e altre istituzioni pubbliche in varie parti del mondo, prevalentemente localizzate nell’Europa dell’Est e nei paesi dell’ex Unione Sovietica.

Il successo di Gazer può essere spiegato dai metodi avanzati che utilizza per spiare i propri obiettivi e dalla sua capacità di rimanere attivo sui dispositivi infetti, lavorando nell’ombra per spiare il più a lungo possibile un computer.
Per evitare di essere scoperto, Gazer agisce esattamente come le altre backdoor create da Turla ovvero modifica di continuo le stringhe all’interno del proprio codice, randomizza i marcatori e cancella i file in modo sicuro.

Gli attacchi alle ambasciate e ai ministeri effettuati finora tramite Gazer mostrano tutte le caratteristiche principali delle campagne di cyber spionaggio attribuite a Turla, che utilizzano tecniche di spear-phishing per distribuire una backdoor di primo stadio, cui si affianca una backdoor di secondo stadio che cattura le informazioni dal computer infetto e le invia al gruppo di cyber criminali tramite connessione ai server C&C.

Tutte le organizzazioni, da quelle istituzionali, diplomatiche, di vigilanza, alle aziende private, dovrebbero prendere coscienza sulla pericolosità di queste nuove minacce sofisticate come Gazer e adottare una difesa stratificata per ridurre le possibilità di una violazione dei loro sistemi di sicurezza.

Per ciò che concerne gli aspetti prettamente tecnici le analisi ESET hanno evidenziato come il primo componente del malware a essere eseguito sul sistema è un loader composto da due risorse, contenuto e decodificato nel codice binario:

• 101: il nome del processo in cui iniettare il modulo orchestrator

• 102: l’ orchestrator

Per assicurarsi che sia attiva una sola istanza del malware viene creato il seguente mutex:

{531511FA-190D-5D85-8A4A-279F2F592CC7}

Per stabilire un canale di comunicazione tra i componenti di Gazer,viene inizializzato un named pipe.

Il named pipe viene generato dalla seguente stringa:

\\\\.\\pipe\\Winsock2\\CatalogChangeListener-FFFF-F

Il pattern “FFFF-F” viene sostituito con i valori ottenuto dal identificatore di sicurezza (SID) dell’utente attuale e dalla data corrente.

Per esempio nel caso in cui la data corrente sia: “2017/04/24” e il SID: “S-1-5-21-84813077-3085987743-2510664113-1000”, per generare il pattern alla fine del named pipe vengono compiute alcune operazioni aritmetiche:

In questo caso il named pipe sarà:

\\\\.\\pipe\\Winsock2\\CatalogChangeListener-9313-a

Se il SID dell’utente attuale non può essere recuperato il name pipe si presenterà come \\\\.\\pipe\\\Winsock2\\ e verrà impostato CatalogChangeListener-FFFE-D in maniera predefinita.

La fase di iniezione del codice avviene attraverso il modulo orchestrator attraverso un processo remoto. Grazie a un thread in esecuzione viene alterato il processo remoto per avviare del codice shell che eseguirà il modulo di comunicazione

• L’intero modulo e il codice shell vengono quindi copiati nel processo remoto;

• Per ottenere il numero totale dei thread in esecuzione nel processo  viene usata la funzione ZwQuerySystemInformation ;

• Le seguenti operazioni vengono tentate su ogni thread:

1. Il thread vene sospeso con le funzioni OpenThread/SuspendThread;
2. Il contesto del thread vien recuperato usando la funzione GetThreadContext;
3. L’indicatore con le istruzioni del contesto viene salvato e modificato per puntare al codice shell (attraverso SetThreadContext);
4. Il thread viene riattivato usando il comando ResumeThread.
5. Se una delle precedenti operazioni fallisse, il thread verrebbe ripristinato e le stesse azioni tentate su un altro thread.

Il codice shell è di fatto solo un loader che esegue il punto di ingresso del modulo in un nuovo thread.

Vista la complessità del malware e la sua capacità di nascondersi nel sistema e nei processi attivi, è di estrema importanza installare e mantenere aggiornato un sistema antimalware, eseguire delle scansioni complete del proprio computer in maniera periodica ed eventualmente chiedere la consulenza di un servizio di supporto tecnico in caso si sospetti un’attività malevola.