Operazione Patchwork: lo spionaggio con software riciclato

Lug 08, 2016 Marco Schiaffino Approfondimenti, Apt, Campagne malware, Malware, Minacce, Minacce, Trojan 0

Una campagna di spionaggio informatico ha colpito enti governativi e militari nel sud-est asiatico. Più di 2.500 computer compromessi usando software di spionaggio arrabattato qua e là sul Web.

Se per cimentarsi nel cyber-crimine non serve essere dei fenomeni della programmazione, a quanto pare non è richiesto avere grandi capacità nemmeno per eccellere nello spionaggio.

È questa la lezione che si impara dal report di Cymmetria, che ha analizzato nei dettagli modalità e tecniche utilizzate da un gruppo di cyber-spioni impegnati in quella che i ricercatori hanno battezzato col nome di “Operazione Patchwork”.

La rete di spionaggio ha presso di mira principalmente i computer di enti governativi e organizzazioni legate al settore militare attivi nel sud-est asiatico e nel mar cinese meridionale. Per ottenere il risultato, gli ignoti pirati informatici hanno utilizzato una serie di strumenti reperiti online, sia su Github, sia su forum dedicati all’hacking.

La ricostruzione del modus operandi del gruppo Patchwork fatta da Cymmetria parte con un attacco di spear phishing, che ha preso di mira nel maggio 2106 un funzionario cinese.

Il veicolo di infezione scelto dagli spioni è stata una presentazione PowerPoint che sfruttava una vulnerabilità (CVE-2014-4114) ben conosciuta dei programmi Office, efficace sulle versioni non aggiornate delle edizioni 2003 e 2007 della suite per l’ufficio di Microsoft.

Lo schema di attacco riassunto nel grafico di Cymmetria.

È a questo punto che gli analisti di Cymmetria hanno fatto la loro mossa, “ingabbiando” l’attacco in un ambiente controllato al cui interno hanno potuto registrare e analizzare tutte le mosse dei pirati: dal traffico di rete alle modifiche del sistema effettuate per muoversi al suo interno.

Una volta avuto accesso tramite l’exploit, il malware ha aggirato il sistema UAC (User Account Control) di Windows utilizzando un metodo chiamato UACME. Il codice per farlo, secondo quanto ricostruito dagli analisti, è stato copiato da un forum online.

I pirati hanno poi usato gli strumenti di PowerSploit, una collezione di strumenti shell disponibile sul Web, per scaricare e installare Meterpreter, un trojan disponibile nel pacchetto Metasploit.

Il trojan ha individuato i documenti sul computer e ne ha trasferito una copia al server Command and Control controllato dai pirati. Avuta la conferma che il bersaglio era “interessante”, hanno poi proceduto con l’installazione di un secondo (e più complesso) malware, a sua volta ottenuto assemblando diversi moduli facilmente reperibili sul Web.

Lo schema dell’ambiente creato per ingannare gli intrusi e studiarne le mosse.

A questo punto, gli intrusi hanno cominciato a esplorare la rete (in realtà composta da una serie di esche disposte ad hoc dai ricercatori) per cercare di ottenere l’accesso ad altri dispositivi. L’attività, però, a quel punto si è interrotta.

Gli analisti di Cymmetria hanno potuto però risalire e accedere al server C&C, ottenendo i log di sistema e i documenti caricati su di esso.

Tra questi hanno trovato i file PowerPoint utilizzati per diffondere il malware e numerose informazioni che gli hanno permesso di ricostruire l’attività del gruppo in maniera piuttosto dettagliata.

Nel server C&C usato dai pirati c’era un bell’arsenale di file PowerPoint infetti già pronti per l’uso.

Nonostante il rapporto non tragga conclusioni certe sulla paternità degli attacchi, l’ipotesi più credibile è quella di un gruppo vicino al governo indiano, che avrebbe tutto l’interesse a creare una rete di spionaggio come quella di Patchwork per controllare i suoi “vicini”.

A confermare l’ipotesi è anche l’analisi degli orari in cui i pirati sembravano essere attivi, che indicherebbe una presenza in “orario d’ufficio” nell’area del subcontinente indiano.

Condividi l'articolo