Il rompicapo dell’hackeraggio russo: un software utilizzabile da chiunque, indirizzi IP incerti, due cybercriminali noti e due APT pericolosissimi. L’analisi
Mentre il Presidente Obama annuncia sanzioni contro il governo russo per i presunti tentativi di influenzare le elezioni Presidenziali attraverso cyber attacchi, l’FBI ed il Dipartimento per la sicurezza nazionale (DHS) hanno reso pubblico un rapporto, intitolato “GRIZZLY STEPPE – Russian Malicious Cyber Activity,” sulle attività cyber condotte da hacker russi.
Il ruolo degli APT secondo l’intelligence USA
Gli esperti americani hanno analizzato le operazioni condotte da due distinti gruppi di hacker Russi, APT28 e APT29.
Con il termine APT si riferisce un gruppo dotato di notevoli capacità tecniche e finanziarie responsabili di attacchi di varia complessità.
Il rapporto pubblicato dall’intelligence americana fornisce dettagli tecnici sulle tecniche, tattiche e procedure (TTP) degli attori malevoli ed attribuisce le loro operazioni ai servizi di intelligence civili e militari russi (RIS).
Secondo gli esperti dell’intelligence americana, evidenze tecniche prodotte nel rapporto consentono un’attribuzione certa degli attacchi, attribuzione che invece è stata oggetto di severe critiche dalla comunità di esperti mondiali. Di seguito un passaggio che fondamentale del rapporto in cui si attribuiscono le operazioni ad attori che operano per conto del RIS.
“In foreign countries, RIS actors conducted damaging and/or disruptive cyber-attacks, including attacks on critical infrastructure networks. In some cases, RIS actors masqueraded as third parties, hiding behind false online personas designed to cause the victim to misattribute the source of the attack. This JAR provides technical indicators related to many of these operations, recommended mitigations, suggested actions to take in response to the indicators provided, and information on how to report such incidents to the U.S. Government.” States the report.
Le sanzioni e la rappresaglia nell’Executive Order di Obama
Vi invito ad una riflessione proprio sulla prima frase che menziona attacchi informatici distruttivi condotti contro le infrastrutture critiche di governi stranieri. L’attribuzione di tale tipologia di attacco ad un attore malevolo, potrebbe secondo l’Executive order emanato nell’Aprile 2015 dal Presidente Obama, innescare una risposta “cyber” dalle conseguenze difficili da prevedere.
Veniamo al rapporto JAR (Joint Analysis Report) dell’intelligence americana. Come anticipato esso descrive le operazioni di due differenti APT, l’APT28 e l’APT29, che opererebbero sotto il controllo del RIS. I due gruppi sarebbero, secondo l’intelligence statunitense, i responsabili degli attacchi contro gli esponenti di un partito politico (ovvero quello democratico che non viene esplicitato nel rapporto). L’APT29, anche noto come Cozy Bear, Office Monkeys, CozyCar, The Dukes and CozyDuke, ha violato nell’estate del 2015 i sistemi di questo partito americano. Il secondo gruppo, l’APT28 (noto come Fancy Bear, Pawn Storm, Sofacy Group, Sednit and STRONTIUM) è subentrato nella primavera del 2016.
L’uso dello spear phishing e dei malware
Entrambi i gruppi sono ben noti alle principali aziende di sicurezza che seguono da anni le loro operazioni di spionaggio informatico ai danni di organizzazioni governative ed imprese in tutto il mondo. Entrambi I gruppi hanno condotto numerosi attacchi di spear phishing, ovvero di messaggi di phishing indirizzati ad specifica platea e preparati in modo che possano essere di interesse per le sole vittime.
I messaggi di spear-phishing utilizzati dal gruppo APT29 analizzati dagli esperti americani contengono link a software (dropper) in grado di scaricare i malware utilizzati nella campagna di spionaggio per compromettere i sistemi delle vittime.
I rapporto sviluppato dall’intelligence americana riferisce di alcuni dei software utilizzati nelle campagne di spionaggio dei due gruppi APT. Tra i software vi sono i malware XTunnel e Carberp, la Fysbis backdoor ed il Komplex Trojan. Il rapporto FBI-DHS JAR riferisce di due distinte ondate di attacchi contro obiettivi americani coinvolti nell’elezione che sono avvenute nell’estate del 2015 e nel Novembre 2016. Il documento conferma che nation-state hacker identificati come Grizzly Steppe hanno preso di mira gli account di posta americani nell’ Aprile 2015 nel corso di una campagna di spear phishing.
“In summer 2015, an APT29 spearphishing campaign directed emails containing a malicious link to over 1,000 recipients, including multiple U.S. Government victims. APT29 used legitimate domains, to include domains associated with U.S. organizations and educational institutions, to host malware and send spearphishing emails.” Continua il rapporto.
Nella primavera del 2016, hacker appartenenti al gruppo APT28 hanno attaccato esponenti del medesimo partito americano con messaggi di spear phishing. Gli hacker hanno utilizzato un falso servizio di webmail utilizzato dalle vittime per collezionare le loro credenziali di accesso ed utilizzarle per entrare nei loro servizi email ed accedere ad altri servizi utilizzati dai politici. In questo modo sono state esfiltrate informazioni sensibili dai sistemi dell’U.S. Democratic Congressional Campaign Committee (DCCC).
“In the spring of 2016, attackers were again successful when they tricked a spear phishing recipient to change their password through a fake web domain controlled by the attackers. “Using the harvested credentials, APT28 was able to gain access and steal content, likely leading to the exfiltration of information from multiple senior party members.”
Net-propaganda e malware
Il rapporto conferma che gli stessi hacker “sovietici”, una volta trafugate le informazioni, le hanno reso pubbliche attraverso la stampa e siti web nel tentativo di influenzare il risultato finale delle elezioni americane. Il rapporto non fa esplicito riferimento all’attacco contro il DNC, ma quasi tutte le aziende di sicurezza che hanno analizzato l’attacco hanno confermato che il DNC era l’obiettivo primario dei gruppi di hacker russi citati nel rapporto.
Il rapporto include una specifica sessione contenente raccomandazioni per mitigare rischi di esposizione agli attacchi perpetrati dai gruppi di hacker sovietici. Il documento fornisce dettagli tecnici che possono essere utilizzati dai gestori delle infrastrutture informatiche per verificare se i loro sistemi siano stati compromessi, i cosiddetti Indicatori di compromissione o (IoC).
“DHS encourages network administrators to implement the recommendations below, which can prevent as many as 85 percent of targeted cyber-attacks.”
Un vecchio software ucraino per gli attacchi
A questo punto è lecito chiedersi se le indicazioni fornite nel rapporto siano sufficienti ad attribuire con certezza assoluta l’attacco a forze sovietiche.
Gli esperti di sicurezza della azienda Wordfence hanno pubblicato un interessante rapporto in cui hanno analizzato il codice malevolo (PHP malware) fornito al corredo del rapporto dalle autorità statunitensi.
Il governo americano ha infatti condiviso il codice malevolo ed una serie di indirizzi IP che sarebbero stati utilizzati dagli hacker russi negli attacchi contro la macchina elettorale americana.
Gli esperti sono riusciti a risalire al codice malevole completo utilizzato dagli hacker proprio dalla porzione condivisa con il rapporto.
Bene, con sorpresa di molti esperti si è scoperto che il codice in realtà è un software disponibile online e chiamato P.A.S.. Si tratta di un codice sviluppato in Ucraina e la versione utilizzata negli attacchi è la 3.1.7, mentre la versione attuale è la 4.1.1b.
Gli indirizzi IP, Tor e i criminali
L’analisi degli indirizzi IP forniti nel rapporto non evidenzia nessun legame particolare con infrastrutture utilizzate dagli hacker sovietici in passato. Circa il 15% degli indirizzi IP è associato a nodi di uscita della rete Tor, ciò implica che gli hacker hanno mascherato i loro indirizzi reali dietro la popolare rete di anonimizzazione.
Riassumendo quindi ci troviamo dinanzi ad una porzione di software utilizzabile da chiunque e degli indirizzi IP che non riconducono in maniera certa all’operato di hacker al soldo del Cremlino.
Il resto della storia è noto, l’amministrazione Obama ha richiesto l’espulsione di 35 diplomatici ed alla chiusura di due residenze utilizzate dal Governo Russo negli Stati Uniti.
L’ordine esecutivo del Presidente Obama ha sanzionato nove entità o individui: le due principali agenzie di intelligence Russe, l’FSB ed il GRU, quattro membri dei servizi segreti militari GRU; e tre aziende che avrebbero supportato le operazioni, ovvero la Special Technology Center, la Esage Lab (o Zorsecurity) e la Professional Association of Designers of Data Processing Systems.
Il ruolo dei cybercriminali
Leggendo il comunicato della Casa Bianca è possibile notare anche i nomi di Evgeniy Bogachev e Aleksey Belan, due dei più noti cybercriminali russi specializzati in frodi online.
Bogachev, noto anche come lucky12345, è responsabile danni economici ad aziende americane per oltre 100 milioni di dollari, la sua organizzazione era specializzata nella distribuzione di noti malware come il trojan bancario Zeus ed il ransomware Cryptolocker che vi ricordo cifra i documenti delle vittime chiedendo il pagamento di un riscatto per ripristinarne l’acceso. Bogachev è il presunto operatore della botnet (rete di computer compromessi) Gamover Zeus utilizzata per rubare credenziali bancarie ed altre informazioni dalle macchine delle vittime.
Belan invece è noto nell’underground sovietico come esperto in frodi e furti d’identità.
Questo elemento è estremamente interessante, in quanto Washington attribuisce loro un ruolo negli attacchi, ruolo che tuttavia non è chiarito in alcun rapporto reso pubblico sino ad ora.
Tale circostanza confermerebbe la vicinanza di gruppi criminali internazionali russi al governo di Mosca che è accusato di una discutibile tolleranza sulle loro attività cybercriminali in cambio di supporto per operazioni di natura politica.
PIELUIGI PAGANINI
