I ricercatori del team Netlab 360 di Qihoo hanno pubblicato un rapporto in cui riferiscono che attori di minacce non ancora identificati stanno utilizzando una nuova backdoor progettata per funzionare in modo simile al malware noto come “Hive”, sviluppato dalla Central Intelligence Agency (CIA) degli Stati Uniti e il cui codice sorgente è stato reso pubblico da WikiLeaks nel novembre 2017.
Una scoperta importante perché conferma lo sfruttamento attivo da parte dei criminal hacker del codice sorgente della suite di cyber spionaggio Project Hive, la piattaforma malware avanzata progettata dall’intelligence statunitense per controllare i sistemi infetti ed esfiltrare in modo sicuro le informazioni in essi contenute.
Indice degli argomenti
Una backdoor creata col malware Hive della CIA
In particolare, nello scorso mese di ottobre 2022 i ricercatori hanno trovato un file ELF sospetto che si propagava tramite una vulnerabilità F5 con zero rilevamento di VirusTotal e che comunicava con un indirizzo IP utilizzando SSL con certificati Kaspersky Lab contraffatti.
Netlab ha quindi pubblicato recentemente un rapporto che conferma che questo campione è stato adattato dal codice sorgente del server del progetto Hive trapelato dalla CIA statunitense nel 2017 quando WikiLeaks, in seguito alla sensazionale fuga di informazioni riservate della CIA denominata Vault 7, ha messo in scena un’altra fuga di notizie simile con il nome logico Vault 8.
Come parte di Vault 8, l’organizzazione di Assange e il suo team hanno pubblicato il codice sorgente per il progetto Hive e la relativa documentazione.
In particolare, uno dei certificati falsi che la CIA ha generato per Hive era un certificato di Kaspersky Lab.
Ora, 5 anni dopo, i ricercatori cinesi hanno scoperto il RAT (Remote Access Trojan) che chiamano xdr33 e che è stato creato modificando il codice di Hive.
Allo stesso tempo, tenendo conto della bassa complessità della modifica e della vulnerabilità utilizzata, i ricercatori di Netlab ritengono che il malware rilevato non appartenga alla CIA.
I primi dettagli del nuovo malware xdr33
Questa nuova variante del kit HIVE funziona principalmente come backdoor. Raccoglie informazioni sensibili e fornisce un punto d’appoggio per successive intrusioni.
Utilizza l’algoritmo AES o XTEA per crittografare il traffico originale e utilizza SSL con la modalità di autenticazione del certificato client abilitata, per proteggere il traffico di comunicazione di rete.
La backdoor svolge due compiti principali: beacon e trigger.
Beacon segnala periodicamente informazioni sul PID, MAC, SystemUpTime, sul processo e sul dispositivo relative alla rete, inviando il tutto al C2 (server di comando e controllo) codificato ed esegue i comandi da esso emessi.
La funzione principale di trigger è invece quella di monitorare il traffico NIC per identificare messaggi specifici che nascondono il suo server C2. Successivamente stabilisce la comunicazione con il C2 del payload e attende l’esecuzione dei comandi da esso impartiti.
Come detto, rispetto al codice sorgente HIVE originale trapelato, Xdr33 è stato modificato e queste modifiche non sembrano essere molto sofisticate in termini di implementazione. xdr33 è stato aggiornato con nuove istruzioni CC (conditional call, metodo di coding in cui la sequenza del programma viene trasferita a un livello particolare o a un indirizzo a 16 bit del microprocessore), funzioni di wrapping e strutture riordinate.
Inoltre, il malware implementa un formato di messaggio “trigger” modificato e sono state aggiunte nuove operazioni CC (di comando e controllo) per l’attività “beacon”.
Conclusioni
Questo è il primo esempio di sfruttamento di risorse malevole disponibili online. La perdita e il riutilizzo delle risorse della CIA da parte di gruppi malintenzionati potrebbero avere gravi implicazioni per la sicurezza internazionale, mettendo le società collegate a rischio di sfruttamento.
Con tali minacce incombenti, le agenzie e le organizzazioni governative interessate e più vicine a questi strumenti, dovrebbero rivalutare la loro posizione di sicurezza e dotarsi di ampi scudi per ridurre i rischi.
