Durante gli ultimi anni la sofisticazione del panorama cyber criminale si è manifestata in molte forme: dalle esplosioni delle community underground, ormai frequentatissime non più solo da attori est-europei, alle nuove modalità di estorsione, con l’affinamento dei modelli di business delle data extortion, finanche ai mercati minori, popolati da un fitto sottobosco di micro-criminali digitali, figure simile a dei freelance estremamente specializzate in singole parti delle filiere del cyber crimine.
Tra le più recenti evoluzioni nel mercato cyber criminale sono sempre più consolidate le nuove generazioni di piattaforme CaaS, Crimeware as a Service: veri e propri servizi SaaS (Software as a Service) disegnati per abilitare i criminali dell’era digitale ad operazioni di spionaggio, furto e rivendita di dati. Una di queste nuove piattaforme, recentemente salita alla ribalta della cronaca e attenzionata anche da Talos, gruppo di Intelligence di Cisco, è Dark Utilities.
Il fenomeno del CaaS è in realtà nato diversi anni fa, in origine destinato a gruppi organizzati, e si è poi espanso orizzontalmente su più discipline criminali:
- botnet (BaaS);
- phishing (PhaaS);
- Denial of Service (DDoSaaS);
- ransomware (RaaS);
consolidando il fenomeno ed attraendo un gran numero di sviluppatori tutt’intorno alle piazze criminali, sfumandone persino i confini.
Nuovi trend si stanno consolidando per le piattaforme CaaS. Lentamente queste piattaforme stanno abbandonando il Dark Web a favore dei più ricchi mercati nel web che tutti conosciamo. Diverse piattaforme CaaS hanno fatto il passo fuori dalle reti anonime come nel caso di Dark Utilities e altre stanno nascendo proprio nella internet pubblica.
Indice degli argomenti
Il caso “Dark Utilities”
Dark Utilities è una piattaforma SaaS rilasciata all’inizio del 2022 di natura estremamente ambigua: già dai primi momenti è stata resa raggiungibile sia sulla Internet pubblica sia sulla rete Tor.
A differenza di tante altre, questa piattaforma si promuove fornendo accesso a codici malevoli di tipo RAT (Remote Access Trojan), ed infrastrutture gestite di comando e controllo utilizzabili out-of-the-box, senza alcuna necessità di sviluppo malware o gestione di server offshore. L’unica barriera per un malintenzionato sono i 9,99 euro al mese richiesti per accedere alla piattaforma criminale.
Dark Utilities è inoltre commercializzata come un mezzo per consentire l’accesso remoto, l’esecuzione di comandi, gli attacchi DDoS (Distributed Denial of service) e le operazioni mining di criptovalute sui sistemi sui quali è installata. Una serie di funzionalità che lasciano ben poco di benevolo all’immaginazione.
Le caratteristiche tecniche di Dark Utilities
Una delle funzionalità Dark Utilities, ed anche di tante altre piattaforme CaaS, è la capacità di generare codici malevoli per molteplici sistemi operativi: da Windows fino a Linux ed anche Mac OS. Tuttavia, in Dark Utilities questi payload malevoli sono distribuiti alle vittime con un metodologia caratteristica: l’uso di protocolli peer-2-peer di nuova generazione.
Infatti, Dark Utilities utilizza l’Interplanetary File System (IPFS) come tecnologia di appoggio per la distribuzione dei payload. IPFS è un protocollo per l’archiviazione e la condivisione di dati su di in un file system distribuito in grado di resistere alla rimozione dei contenuti da parte delle forze dell’ordine, il tutto rimanendo interoperabile con la internet tradizionale grazie a dei gateway IPFS che, similarmente alle tecnologie Tor2Web, consentono agli utenti di rete di accedere ai contenuti ospitati all’interno di IPFS senza installazione di software aggiuntivo.
Dopo che un sistema è stato infetto dall’agente di Dark Utilities e stabilito un canale di comunicazione con la piattaforma CaaS, il malintenzionato che opera l’account ottiene l’accesso completo al sistema: può persino avere un prompt PowerShell interattivo direttamente dal pannello di amministrazione ed un interprete Python integrato per caricare sulla macchina della vittima script Python arbitrari.
Oltre a questo, al malintenzionato basta un click per far minare criptovaluta Monero sulla macchina infetta.
Dietro le apparenze
Mai come non mai il proverbio “l’abito non fa il monaco” è stato più azzeccato. Alla stregua di un normale vendor, il sito internet pubblico di Dark Utilities ha una sezione per riportare gli abusi dove gli autori rimarcano più volte che sono assolutamente contrari all’uso illecito del loro servizio a danno di terzi.
Tentativo di discarico di responsabilità.
Tuttavia, all’interno del portale stesso vi sono elementi che tradiscono le dichiarazioni degli autori e ne rivelano la reale natura.
Ad esempio le documentazioni delle API della piattaforma fanne esplicito riferimento alla gestione di attacchi verso bersagli. Un modello totalmente distante dal modo di pensare e di impostare il software di chi realmente sviluppa sistemi di amministrazione remota, come VNC, Team Viewer o AnyDesk.
Descrizione API della piattaforma Dark Utilities.
Inoltre, dopo la pubblicazione dell’articolo di ricerca di Talos proprio sulla piattaforma Dark Utilities c’è stato un curioso cambiamento nel sito internet della piattaforma.
Dapprima, infatti, gli autori di Dark Utilities raccontavano la propria piattaforma come una tecnologia che permette di iniettare codice e comandi sui server, rimanere persistenti sulle macchine e minare crittovalute.
Pochi giorni dopo la pubblicazione, e dopo l’ondata di riflettori che sono stati accesi dalla community di sicurezza, questa descrizione è cambiata: ora Dark Utilities sarebbe diventato un sistema per “semplificare le installazioni” e – addirittura – un sistema “anti-backdoor”.
Le tempistiche di questa curiosa coincidenze sono quanto meno singolari.
Descrizione del servizio prima della pubblicazione dell’articolo di Talos.
Descrizione del servizio dopo la pubblicazione dell’articolo di Talos.
I rischi
Nonostante la gogna pubblica che Talos ha fatto passare a questa sedicente piattaforma di amministrazione. I rischi dell’espansione delle piattaforme CaaS sulla internet pubblica sono concreti e prossimi. Ad esempio, gli stessi autori di Dark Utilities stanno pianificando di pubblicare i codici sorgenti del framework su di un account GitHub a partire dal primo Settembre 2022: data il cui tantissimi altri malintenzionati potrebbero utilizzare questo codice per creare nuovi servizi CaaS anche nel panorama cyber europeo.
