I ricercatori ESET hanno scoperto che il famigerato gruppo di spie informatiche Turla, probabilmente appoggiato dal governo Russo, sta utilizzando un nuovo strumento nelle ultime campagne indirizzate alle ambasciate e ai consolati negli stati dell’ex unione sovietica. Questo nuovo tool cerca di ingannare le vittime nel tentativo di installare un malware in grado di sottrarre quelle informazioni sensibili desiderate dal gruppo Turla.
Da sempre queste spie digitali utilizzano l’ingegneria sociale per ingannare gli utenti e condurli all’esecuzione di falsi programmi di installazione di programmi noti come ad esempio Adobe Flash Player. Pur conservando nel tempo lo stesso modus operandi, il gruppo ha continuato ad escogitare nuovi mezzi per raggiungere i propri scopi, proprio come dimostra l’ultima ricerca ESET.
Attualmente i criminali stanno distribuendo una backdoor presentandola come un legittimo programma di installazione di Flash Player, ma in quest’occasione hanno aggiunto URL e indirizzi IP che sembrano realmente appartenere alla compagnia Adobe. Ciò induce ancora più facilmente le vittime a credere di scaricare il software direttamente dal sito adobe.com, purtroppo per loro nulla potrebbe essere più lontano dalla verità.
Le campagne che hanno sfruttato questo nuovo strumento sono iniziate già dal luglio del 2016 e presentano numerosi segni distintivi riconducibili al gruppo tra cui Mosquito, una backdoor ideata dallo stesso gruppo di spie, e l’uso di indirizzi IP precedentemente collegati al gruppo.
Vettori di attacco
I ricercatori di ESET hanno diverse ipotesi sulle modalità con cui viene diffuso il malware legato a Turla. Certamente si può escludere a priori un coinvolgimento di Adobe. Non è noto come il malware di Turla abbia alterato gli aggiornamenti legittimi di Flash Player, né se sfrutti delle vulnerabilità di prodotti Adobe noti. È stata scartata anche la possibilità che il sito per il download di Adobe Flash Player sia stato compromesso.
Figura 1: possibili punti di intercettazione nel percorso tra la macchina della potenziale vittima e i server Adobe. Si noti che lo scenario al punto 5 è visto come molto improbabile.
I possibili vettori di attacco che i ricercatori ESET hanno considerato sono:
Una macchina all’interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale.
I criminali potrebbero inoltre compromettere il gateway di rete di un’azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l’intranet di questa organizzazione e Internet.
L’intercettazione del traffico potrebbe anche verificarsi a livello di provider dei servizi Internet (ISP), una tattica che – come evidenziato dalla recente ricerca ESET nelle campagne di sorveglianza che utilizzano spyware FinFisher – non è impossibile.
Le spie avrebbero potuto utilizzare anche un dirottamento BGP (Border Gateway Protocol) per reindirizzare il traffico a un server controllato da Turla, anche se questa tattica avrebbe probabilmente insospettito immediatamente i servizi di controllo Adobe o BGP.
Una volta scaricato e avviato il falso programma di installazione di Flash, viene automaticamente installata una delle backdoor del gruppo. Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un’app Web ospitata su Google Apps Script.
Processo di infezione
Una volta esaurita la fase di diffusione spostiamo la nostra attenzione sull’obiettivo principale dei criminali: l’esfiltrazione di dati sensibili. Queste informazioni includono l’ID univoco della macchina compromessa, il nome utente e l’elenco dei prodotti di sicurezza installati sul dispositivo. Sui sistemi MacOS per i quali il gruppo Turla ha previsto solo un tipo di backdoor, Snake, vengono sottratti ‘solo’ il nome utente e il nome del dispositivo.
Per concludere le sue attività e rassicurare l’ignaro utente il falso programma di installazione esegue il download e avvia un’applicazione legittima di Flash Player.
I ricercatori di ESET hanno individuato delle nuove varianti della backdoor nota come Mosquito, che sfruttano delle tecniche di offuscamento del codice più avanzate per renderne sempre più complessa la rilevazione da parte dei software di sicurezza.
Per garantire al malware di rimanere attivo sul computer infettato, il programma di installazione modifica il Registro di Sistema e crea un account amministrativo che consente l’accesso remoto alla macchina infettata.
Il componente backdoor principale CommanderDLL presenta l’estensione .pdb, utilizza un algoritmo di crittografia personalizzato e può eseguire determinate azioni predefinite. La backdoor inoltre tiene traccia di tutte le attività della macchina compromessa in un file di registro crittografato.
ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete e a controllore periodicamente i sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l’identificazione euristica dei malware.
Lascia un commento