Machete – il grave attacco hacker alle forze armate venezuelane

I ricercatori ESET hanno scoperto una campagna di cyber spionaggio in corso contro obiettivi di alto profilo in America Latina. Più della metà dei computer attaccati appartiene alle forze armate venezuelane ma tra gli obiettivi ci sono anche Istituzioni come la Polizia e i Ministeri dell’Istruzione e degli Affari Esteri. Come mostrato nella Figura 1 la maggior parte degli attacchi – circa il 75% – ha avuto luogo in Venezuela, mentre un altro 16% si è focalizzato in Ecuador. Il gruppo dietro questi attacchi ha rubato gigabyte di documenti riservati ogni settimana. La campagna è ancora molto attiva e arriva in un momento di forti tensioni regionali e internazionali tra Stati Uniti e Venezuela.

Figura 1: mappa sulla distribuzione del malware

Gli esperti dell’azienda di Bratislava hanno monitorato la nuova versione di Machete – il set di strumenti del gruppo – per la prima volta un anno fa. In soli tre mesi, tra marzo e maggio 2019, ESET ha osservato più di 50 computer compromessi che comunicavano con server C&C appartenenti a cyber spie. I cyber criminali introducono regolarmente modifiche al malware, alla sua infrastruttura e alle campagne di spear phishing utilizzate per diffondere il malware stesso.

Questi criminali utilizzano efficaci tecniche di spear phishing. La lunga serie di attacchi, concentrati sui paesi dell’America Latina, ha permesso loro di raccogliere informazioni e affinarne le tattiche nel corso degli anni. Conoscono i loro obiettivi, sanno come inserirsi in comunicazioni legittime e quali documenti conviene rubare. Il gruppo è interessato ai file che descrivono le rotte di navigazione e il posizionamento utilizzato nelle griglie militari.
Il gruppo dietro a Machete invia email molto specifiche direttamente alle sue vittime, differenziandole da bersaglio a bersaglio. Per ingannare gli ignari obiettivi, Machete utilizza documenti reali che ha precedentemente rubato, come ad esempio i “Radiogramas”, file utilizzati per la comunicazione all’interno delle forze armate locali, di cui i criminali approfittano, insieme alla loro conoscenza del gergo militare e dell’etichetta, per creare e-mail di phishing molto convincenti.
La Figura 2 è un tipico file PDF visualizzato da una potenziale vittima durante un tentativo di attacco; La Figura 2 è un documento militare classificato datato 21 maggio 2019, lo stesso giorno in cui il relativo file .zip è stato inviato per la prima volta agli obiettivi. ESET ha rilevato più casi come questo in cui i documenti rubati e datati in un determinato giorno sono stati raggruppati, combinati con un malware e distribuiti lo stesso giorno come esche per colpire delle nuove vittime.

Figura 2: esca (file PDF) in uno dei downloader di Machete (sfocato)

Il tipo di documento utilizzato come esca viene inviato e ricevuto legittimamente più volte al giorno dagli obiettivi del gruppo. Ad esempio, i radiogrammi sono documenti utilizzati per la comunicazione nelle forze militari venezuelane. I criminali ne approfittano, grazie alla loro conoscenza del gergo militare e dell’etichetta, per creare e-mail di phishing molto convincenti.

Caratteristiche principali

Il gruppo dietro Machete è molto attivo e ha introdotto diverse modifiche al suo malware da quando è stata rilasciata una nuova versione nell’aprile 2018. Nella figura 3 sono rappresentati i componenti per la nuova versione del Malware machete.

Figura 3: componenti di Machete

La prima parte dell’attacco è costituita da un downloader diffuso attraverso un archivio autoestraente, realizzato con 7z SFX Builder. Una volta decompresso apre un file PDF o Microsoft Office che funge da esca, quindi avvia il file eseguibile del downloader stesso. Tale eseguibile è un altro file autoestraente che contiene il file binario del componente py2exe e un file di configurazione che contiene un indirizzo URL codificato per il downloader stesso.
Tutti gli URL di download che abbiamo analizzato sono su Dropbox o Google Documenti. I file di questi URL sono tutti archivi autoestraenti (RAR SFX) contenenti una configurazione crittografata e componenti backdoor py2exe. Da maggio 2019, tuttavia, gli autori di Machete hanno smesso di utilizzare i downloader e hanno iniziato a includere il file esca e i componenti backdoor nello stesso archivio.
I file binari py2exe possono essere decompilati per ottenerne il codice Python. Tutti i componenti – downloader e backdoor – sono offuscati con pyobfuscate, utilizzato peraltro anche nelle versioni precedenti del malware. La Figura 4 mostra parte di uno di questi script offuscati.

Figura 4: Script offuscato con pyobfuscate

Da agosto 2018, i componenti di Machete presentano un ulteriore livello di offuscamento. Gli script ora contengono un blocco di testo compresso con zlib, codificato in base64 che, dopo essere stato decodificato, produce uno script come quello mostrato nella Figura 4. Questo primo strato di offuscamento viene implementato usando pyminifier con il parametro -gzip.
Componenti backdoor
Il dropper di Machete è un eseguibile RAR SFX. Dopo l’esecuzione del codice vengono rilasciati tre componenti py2exe: GoogleCrash.exe, Chrome.exe e GoogleUpdate.exe. Successivamente viene scaricato il file di configurazione, jer.dll, contenente testo codificato in base64 che corrisponde a stringhe crittografate con AES. Nella Figura 5 viene rappresentato uno schema di questi componenti.

Figura5: componenti di Machete

GoogleCrash.exe è il componente principale del malware. Pianifica l’esecuzione degli altri due componenti e per ottenerne la persistenza crea delle attività nell’utilità di pianificazione di Windows.
Il componente Chrome.exe è responsabile della raccolta di dati dal computer della vittima e presenta le seguenti funzionalità:

• Salva immagini dello schermo
• Registra i tasti premuti
• Accede agli Appunti
• Crittografa ed esfiltra i documenti in AES
• Rileva le unità appena inserite e copia i file
• Esegue altri file binari scaricati dal server C&C
• Recupera file specifici dal sistema
• Recupera i dati del profilo utente da diversi browser
• Raccoglie le informazioni di geolocalizzazione delle vittime e informazioni sulle reti Wi-Fi vicine
• Esegue l’esfiltrazione fisica su unità rimovibili

Gli autori di Machete sono interessati solo a determinati tipi di file presenti nei computer delle vittime. Oltre ai documenti di Microsoft Office, nelle unità vengono cercati:

• File di backup
• File di database
• Chiavi crittografiche (PGP)
• Documenti OpenOffice
• Immagini vettoriali
• File per sistemi di geolocalizzazione (mappe topografiche, percorsi di navigazione, ecc.)

Per quanto riguarda la geolocalizzazione delle vittime, Chrome.exe raccoglie i dati sulle reti Wi-Fi vicine e li invia all’API del servizio di localizzazione di Mozilla. In breve, questa applicazione restituisce coordinate di geolocalizzazione quando le vengono fornite altre fonti di dati come beacon Bluetooth, antenne cellulari o punti di accesso Wi-Fi. Quindi il malware prende le coordinate di latitudine e longitudine per creare un URL di Google Maps. Parte del codice così creato viene mostrato nella Figura 6.

Figura 6: Codice per la geolocalizzazione

Il vantaggio dell’utilizzo del servizio di localizzazione di Mozilla è che consente di rintracciare senza la necessità di un segnale GPS reale e può essere più preciso di altri metodi.

Il componente GoogleUpdate.exe è responsabile della comunicazione con il server C&C remoto. La configurazione per la connessione viene letta dal file jer.dll che contiene nome dominio, nome utente e password. Il principale mezzo di comunicazione per Machete è il protocollo FTP, sebbene proprio nel 2019 sia stata implementata anche la comunicazione HTTP come fallback.
Questo componente carica file crittografati in diverse sottodirectory sul server C&C, ma recupera anche file specifici che sono stati inseriti sul server dagli operatori Machete. In questo modo, il malware può disporre della propria configurazione, dei codici binari pericolosi e degli elenchi di file aggiornati, ma può anche scaricare ed eseguire altri codici binari.

Conclusioni

Il gruppo Machete è sempre più attivo, persino dopo che i ricercatori hanno pubblicato delle dettagliate analisi sulle tecniche e sugli indicatori di compromissione di questo malware. ESET ha monitorato questa minaccia per mesi e ha osservato numerosi cambiamenti, a volte anche nel giro di poche settimane.

Alcuni indizi recuperati nel codice di Machete ci fanno supporre che i suoi autori siano di lingua spagnola. La presenza di codice per esfiltrare i dati su unità rimovibili in caso di accesso fisico a un computer compromesso può indicare che gli operatori Machete potrebbero essere presenti in uno dei paesi di destinazione, anche se non possiamo esserne certi.

Un elenco complessivo, completo di Indicatori di compromessione (IoC) è disponibile nel white paper e su GitHub. ESET rileva questa minaccia come una variante di Python / Machete.