Pochi giorni fa, gli esperti dell’azienda di sicurezza Yoroi hanno individuato un attacco contro una delle principali aziende dell’industria navale italiana, un attacco come che si distingue dagli altri per la complessità del codice e per l’abilità mostrata dagli attaccanti.
Spesso parliamo di attacchi mirati contro aziende di tutto il mondo dimenticandoci che molte delle nostre imprese grazie alle loro capacità innovative sono un obiettivo strategico per attori nation state e per gruppi criminali.
Come vedremo a breve, l’attacco che stiamo per raccontare ha dei contorni inquietanti e misteriosi, il malware è stato denominato MartyMcFly Malware come il personaggio immaginario protagonista della trilogia cinematografica Ritorno al futuro, è c’è un sinistro motivo a tutto ciò.
Che cosa è successo
Il 9 ottobre un’importante azienda italiana del settore navale riceve una mail di spear-phishing contenente una proposta commerciale, il mittente, sembrerebbe essere la Servizi Marittimi Mark Van Schaick (con sede a Rotterdam).
La mail è ben scritta, il mittente manifesta in essa la volontà di acquistare alcuni prodotti dell’azienda italiana fornendo indicazioni dettagliate di prezzo e numero di catalogo, circostanza che palesa che ci si trovi dinanzi ad un attacco mirato.
La mail non è unica, nei giorni successivi ve ne succedono altre simili, alcune delle quali apparentemente provenienti dalla società greca Naviera Ulises.
Tutte le mail, sebbene riproducano i loghi ed il layout dei legittimi mittenti sono invece messaggi provenienti dagli attaccanti ed opportunamente camuffate, l’obiettivo è quello di indurre le vittime ad aprire un file excel allegato contenente l’elenco dei pezzi di ricambio necessari.
L’apertura di questo file excel innesca il processo di infezione che inizia con il download di un primo codice malevolo dal sito della società metalmeccanica turca Apex Elektrik, quest’ultima non coinvolta nell’attacco ma i cui server sono stati compromessi dagli attaccanti.
Il file excel è concepito per sfruttare una nel componente Equation Editor di Office e identificata come CVE-2017-11882, vulnerabilità scoperta quindi del 2017 (prendere nota di questa data ????)
Fruttando la vulnerabilità l’attaccante intende installare sulla macchina della vittime un Remote Access Trojan (Rat), ovvero un malware che consente di prendere il controllo della macchina infetta.
Perché il nome MartyMcFly?
Qui la storia si complica, infatti il malware utilizzato nell’attacco sarebbe stato osservato per la prima volta nel 2010, sette anni prima!
Se la data è giusta, e sarebbe certificata dal principale servizio di analisi malware online, Virus Total, gli attaccanti avrebbero utilizzato indisturbati una zero-day CVE-2017-11882 almeno dal 2010 fino alla sua scoperta nel 2017.
Il malware quindi non sarebbe mai stato identificato per ben 8 anni, fino a quando Yoroi non ne trova traccia sui sistemi di una azienda italiana.
Inquietante, ma in realtà c’è qualcosa di ancor più disarmante.
Analizzando il codice del Malware Marco Ramilli ed il suo team di Yoroi ha fatto una scoperta ancor più preoccupante.
All’interno del codice vi è un controllo che verifica la data di esecuzione del malware e ne autorizza l’attivazione solo dopo il 2017 (nel codice è presente un controllo con la stringa 0x7E1 ovvero 2017 in codifica esadecimale).
Mettiamo insieme i pezzi di quello che appare un vero e proprio giallo.
Qualcuno già nel 2010 era a conoscenza di una falla che sarebbe stata sfruttata nel 2017, non solo ne programma l’attivazione del codice dopo la data in cui sarebbe stato scoperto.
Quest’attaccante sembrerebbe essere in possesso nel 2010 di informazioni divulgate nel 2017, che ci si trovi dinanzi un viaggiatore nel tempo come MartyMcFly? Oppure l’assunzione fatta da Virus Total che il codice sia stato visto per la prima volta nel 2010 è semplicemente errata?
Vi ometto i dettagli tecnici sul MartyMcFly malware che troverete in un interessante e dettagliata analisi pubblicata sul nuovo blog aziendale di Yoroi tuttavia è importante comprendere quanto le nostre aziende siano esposte a minacce di crescente complessità.
Dopo aver analizzato in dettaglio il rapporto di Yoroi è mia personale opinione che ci si trovi dinanzi un attaccante nation-state intento in una campagna di spionaggio mirata, circostanza che deve indurci ad innalzare i livelli di protezione per le nostre strutture.
