ESET: “gli attacchi in Ucraina tutti portati dal gruppo TeleBots”

Ott 12, 2018 Marco Schiaffino Attacchi, Hacking, Malware, News, RSS, Scenario 0

I ricercatori della società di sicurezza hanno trovato le prove di un collegamento tra gli attacchi BlackEnergy, Industroyer e NotPetya.

Il dubbio che la mano fosse la stessa c’era, se non altro per il fatto che tutti gli attacchi avevano preso di mira principalmente l’Ucraina. Ora, però, c’è un elemento in più per collegare gli attacchi alle infrastrutture industriali ucraine (BlackEnergy nel 2015 e Industroyer nel 2016) a NotPetya, il “falso ransomware” che nel giugno 2017 ha cominciato a diffondersi proprio da Kiev.

A elaborare la connessione sono stati i ricercatori di ESET, che da tempo si stanno impegnando sul tema, analizzando il codice dei malware e il modus operandi dei pirati informatici alla ricerca di qualche indizio.

La loro tesi è che tutti gli attacchi siano opera del gruppo TeleBots, una vecchia conoscenza degli esperti di sicurezza a cui sono stati attribuiti gli attacchi del 2015 e del 2017.

Ma andiamo con ordine. La prima “impresa” dei TeleBots, come raccontano i ricercatori in un post pubblicato sul blog della società di sicurezza, è stato appunto BlackEnergy. L’attacco, che nel 2015 ha colpito alcune centrali elettriche ucraine provocando un gravissimo black out, è praticamente passato alla storia.

Successivamente il gruppo si sarebbe dedicato a una serie di attacchi (con strumenti diversi) nei confronti di istituzioni finanziarie ucraine. L’attribuzione a TeleBots di queste attività, spiegano gli autori del report, deriva dall’analisi delle infrastrutture usate.

Fino a oggi le tracce del gruppo si perdevano fino all’altro clamoroso attacco che nel 2017 ha preso di mira l’Ucraina: quel NotPetya che per qualche ora ha fatto temere il ripetersi di un’infezione globale come quella di WannaCry.

Nell’intervallo di tempo che separa i due episodi, però, in Ucraina si è verificato un altro attacco nei confronti di impianti industriali e anche in questo caso gli esperti di sicurezza si sono trovati di fronte un malware estremamente complesso: Industroyer.

Fino a qualche tempo fa, però, non era emersa alcuna evidenza che potesse permettere di collegare anche questo attacco ai TeleBots. La prova individuata dai ricercatori è arrivata nell’aprile 2018, quando hanno scoperto una nuova backdoor utilizzata dai TelebBots, che è stata battezzata con il nome di Exaramel.

Analizzandone il codice, dalle parti di ESET si sono resi conto che c’erano delle forti similitudini con la backdoor utilizzata in Industroyer. Stando al report, anzi, le due backdoor sarebbero praticamente identiche e si differenzierebbero solo per il formato utilizzato per le comunicazioni. La nuova backdoor usa XML, mentre quella vecchia usava un formato binario personalizzato.

Nel lungo e dettagliato report emerge anche un elemento piuttosto curioso, indice del fatto che ai pirati informatici non sono sfuggite le “£attenzioni” che gli stanno dedicando i ricercatori di ESET. I nomi di dominio dei server Command and Control usati dai TeleBots imitano quelli di ESET, con varianti del tipo esetsmart.org o um10eset.net.

L’uso di domini di questo tipo, a volte, può significare che i pirati cercano di “camuffare” le connessioni facendole passare per collegamenti legittimi. In questo caso, però, sembra più che i cyber-criminali stiano sfidando i ricercatori.

Condividi l'articolo