La rete di spionaggio ProjectSauron

Ago 12, 2016 Marco Schiaffino Approfondimenti, Attacchi, In evidenza, Malware 0

Un malware particolare

Sotto il profilo tecnico, gli impianti di ProjectSauron sono realizzati con una versione modificata di Lua, un linguaggio di programmazione multipiattaforma che consente ai pirati di avere la massima flessibilità nel gestire l’attività del malware in ambienti diversi.

Rilevare il codice maligno utilizzato dai cyber-spioni è piuttosto difficile. Tutti gli impianti individuati che fanno riferimento a ProjectSauron, infatti, appaiono realizzati “su misura” per ogni singolo bersaglio. Hanno nomi e dimensioni diverse e sono confezionati per avere la massima efficacia nell’ambiente in cui dovranno operare.

In molti casi, per esempio, contengono un modulo dedicato all’exploit di un particolare software per la crittografia dei dati in rete. I ricercatori Kaspersky, nel loro report, non ne citano il nome (lo definiscono genericamente “VirtualEncryptedNetwork” o “VEN”) per non offrire elementi che permettano di individuare le vittime degli attacchi.

Si tratta di un software il cui utilizzo viene definito dagli analisti “non comune” e utilizzato da molti dei bersagli per proteggere le comunicazioni, le chiamate vocali, la posta elettronica e lo scambio di documenti.

Quello che è certo, è che il sistema è al centro dei pensieri dei pirati affiliati a ProjectSauron. Gli impianti rilevati, infatti, sono programmati per cercare i componenti VEN attivi nella rete, memorizzare le chiavi crittografiche e identificare i server che ne gestiscono il funzionamento.

In molti casi, ProjectSauron ha anche installato moduli del suo impianto nelle directory di VEN per accedere ai dati trasmessi attraverso questo sistema. Analizzando il comportamento del malware, gli analisti si sono accorti che alcuni componenti cercano di comunicare con i server VEN come farebbero con un server Command and Control.

Un comportamento, questo, che potrebbe far pensare che i server di comunicazione VEN siano un obiettivo di ProjectSauron e che una volta compromessi potrebbero entrare a far parte della rete di spionaggio messa in piedi dai cyber-criminali.

Anche il sistema di comunicazione tra gli impianti e i server C&C ha caratteristiche uniche. L’operazione, infatti, prevede l’uso di numerosi server dedicati per ogni singolo bersaglio, che non vengono mai riutilizzati.

I server C&C sono sparpagliati per mezzo mondo e usano ISP diversi.

Insomma: chiunque ci sia dietro questa rete di spionaggio, non ha problemi di risorse né in termini di energie, né in termini di investimenti.

Le indagini dei ricercatori del GReAT hanno portato a individuare almeno 11 domini diversi utilizzati per gestire le comunicazioni. Gli autori degli attacchi, inoltre, si sono anche preoccupati di usare diversi Internet Provider per diversificare ulteriormente il loro schema di azione.

Anche l’installazione dei moduli di ProjectSauron utilizza una tecnica particolare. Spesso, infatti, la loro implementazione è portata a termine modificando gli script usati dagli amministratori di sistema per aggiornare i software installati sui singoli endpoint.

Il donwloader utilizzato ha dimensioni ridottissime (4-5 Kb) e nei casi in cui il malware memorizza su un disco il codice che gli serve, lo fa utilizzando nomi di file che fanno riferimento a programmi che hanno buone probabilità di passare inosservati, come gli agent per l’aggiornamento degli antivirus (Kaspersky, Symantec) o di altri produttori ben conosciuti (HP, VMware).

Stando a quanto scoperto dagli analisti, gli impianti di ProjectSauron potrebbero anche prevedere un sistema per raggiungere le macchine che non sono collegate alla rete locale. Tra i moduli analizzati, infatti, gli analisti ne hanno individuato uno che sembra avere come obiettivo l’utilizzo di unità rimovibili USB per sottrarre informazioni.

Nel dettaglio, ProjectSauron è in grado di modificare il contenuto delle unità di memoria USB che vengono collegate a una macchina infetta. Le modifiche prevedono la riduzione della partizione creando un’area nascosta di centinaia di MB che viene formattata con un file system virtuale. Quest’area non può essere riconosciuta dai normali sistemi operativi e rappresenterebbe quindi una sorta di “doppio fondo” in cui nascondere i dati da rubare.

La partizione contiene due cartelle principali nominate “In” e “Out”. Secondo i ricercatori, potrebbe trattarsi di una tecnica per cercare di sottrarre dati dai computer che non sono raggiungibili attraverso la rete. Le loro indagini, però, non gli hanno permesso di individuare il codice usato per avviare l’attività di estrazione delle informazioni.

Nel loro report, giungono alla conclusione che l’uso di unità di memoria USB compromesse sia una tattica utilizzata in rarissime occasioni.

Condividi l'articolo