Si chiama GreyEnergy e, secondo un recente studio dei ricercatori ESET che hanno isolato il nuovo malware sotto osservazione già da tre anni, sarebbe il successore evoluto del famigerato APT BlackEnergy i cui strumenti malevoli furono utilizzati nella notte tra il 23 e il 24 dicembre del 2015 per causare il primo blackout della storia dovuto ad un attacco informatico.
In quell’occasione 230.000 ucraini rimasero improvvisamente al buio senza elettricità, ma l’incidente fu solo il primo di una serie di attacchi che negli ultimi tre anni hanno causato danni ingenti a diverse compagnie e società energetiche, reti elettriche nazionali e altri obiettivi di alto valore in Ucraina e Polonia.
Indice degli argomenti
APT: cosa sono e come mettono a rischio la sicurezza aziendale
Prima di analizzare il comportamento di GreyEnergy è utile ricordare che gli Advanced Persistent Threat (abbreviati in APT) rappresentano una delle forme più sofisticate di attacco informatico il cui obiettivo principale è quello di mettere a repentaglio la sicurezza aziendale. Si tratta, infatti, di una vera e propria strategia di attacco multilivello e multicanale sferrato partendo dall’identificazione di un network aziendale che, una volta preso di mira, viene minato in vari modi e su più fronti.
Gli hacker che conducono attacchi di tipo APT come BlackEnergy o GreyEnergy eseguono una serie di azioni malevoli che innanzitutto portano all’identificazione della rete aziendale scelta come bersaglio di una serie di azioni precise e mirate, volte a intaccarne in tutti i modi possibili i sistemi informatici. Le azioni includono la disseminazione di malware di ogni tipo e il furto delle identità: identificando le credenziali di accesso di dipendenti e poi quelle degli amministratori, gli hacker riescono di nascosto a installare una backdoor all’interno della rete aziendale, iniziando a intaccare ogni tipo di servizio.
Il particolare livello di sofisticazione che caratterizza gli attacchi APT e la difficoltà di rilevamento che li caratterizza, fanno sì che possano passare diversi mesi tra il momento della breccia iniziale e la sua scoperta e neutralizzazione.
GreyEnergy, l’APT creato per colpire le centrali elettriche
Come il suo predecessore BlackEnergy, di cui ne replica e migliora le tecniche già sofisticate di attacco, anche l’APT GreyEnergy è stato messo a punto con l’intenzione ben precisa di colpire e danneggiare le infrastrutture critiche di un’intera nazione.
A differenza di quanto successo con BlackEnergy, il gruppo di criminal hacker che sta dietro al nuovo APT GreyEnergy non sembrerebbe però essere interessato a mettere KO le centrali elettriche, quanto piuttosto al cyber spionaggio e alla ricognizione industriale, molto probabilmente in preparazione di futuri attacchi di cyber sabotaggio oppure per gettare le basi per un’operazione gestita da qualche altro gruppo APT (quando si parla genericamente di “gruppi APT” non ci si riferisce a gruppi di persone, ma alle connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C&C condivisa per il controllo e il comando da remoto, catene di esecuzione del malware e così via).
Tale ipotesi è avvalorata dall’analisi della struttura modulare del malware GreyEnergy che, a seconda dei sistemi designati come vittima, permette di attivare i moduli necessari per compiere le azioni malevoli: backdoor, estrazione di file riservati dalle macchine infettate, acquisizione di schermate, keylogging, furto di password e di credenziali e così via.
Nessuno di questi moduli è specifico per i sistemi di controllo industriale (ICS) delle infrastrutture critiche, ma le loro tracce sono state scoperte nelle workstation che eseguono software di controllo ICS e nei server SCADA, che solitamente sono sistemi indispensabili e che non dovrebbero mai essere spenti, se non per operazioni periodiche di manutenzione.
GreyEnergy e BlackEnergy: c’è dietro un’unica mente criminale?
Che gli ideatori di queste ultime minacce siano in qualche modo collegati tra di loro lo confermano alcune caratteristiche tecniche peculiari che in qualche modo riconducono alla stessa mente criminale.
Innanzitutto, l’inizio della diffusione di GreyEnergy coincide esattamente con la scomparsa di fatto dalla scena del cyber crimine di BlackEnergy. Suona particolarmente strano, poi, che una delle vittime di BlackEnergy lo sia stato a distanza di tempo anche di GreyEnergy. Quanto accaduto è giustificabile dal fatto che entrambi gli attacchi APT prendono di mira il settore energetico e le infrastrutture critiche, e poi che entrambi hanno colpito prima in Ucraina e poi anche in Polonia. Ma certo, le coincidenze creano non pochi sospetti.
Anche la struttura tecnica dei due malware è di tipo modulare ed entrambi utilizzano una backdoor con cui provano a rubare le credenziali di accesso ai sistemi colpiti prima di dare il via alla catena di infezione vera e propria.
Infine, tutti i server C&C di GreyEnergy utilizzati dai criminal hacker per il controllo e il comando da remoto dell’APT sono stati classificati come nodi ripetitori attivi della rete TOR. Uno stratagemma utilizzato dai criminali per nascondere al meglio le loro malefatte. Ma la stessa tecnica, guarda caso, è stata utilizzata anche per la diffusione di BlackEnergy e di Industroyer, un altro sofisticato framework di malware utilizzato per causare il blackout del dicembre 2016 sempre a danno dell’Ucraina.
Le analogie, comunque, finiscono qua: GreyEnergy è il rappresentante, se così si può dire, di una generazione successiva a quella di BlackEnergy, ancora più potente e pericolosa. Intanto, grazie ad una sofisticata tecnica stealth, GreyEnergy offre ulteriori potenzialità di offuscamento della sua catena infettiva. È vero che, come BlackEnergy, la nuova variante dell’APT è in grado di impiegare solo particolari moduli verso obiettivi selezionati e solo quando è necessario. Ma alcuni moduli di GreyEnergy vengono crittografati usando chiavi di codifica basate sull’algoritmo AES-256. Inoltre, alcuni codici malevoli del toolkit di GreyEnergy sono stati classificati come malware fileless: si tratta di una particolare famiglia di malware che non memorizza alcun file sull’hard disk della macchina infettata ma rimane in esecuzione solo in memoria con l’intenzione di ostacolare l’analisi e il rilevamento da parte di antivirus e software di controllo.
GreyEnergy e NotPetya: un connubio da paura
Per non farsi mancare niente, i creatori dell’APT GreyEnergy pare abbiamo avuto dei collegamenti anche con il gruppo criminale TeleBots che ha dato vita alla backdoor omonima. Nel corso del 2016, infatti, alcune varianti di GreyEnergy sono state utilizzate per distribuire la versione del worm NotPetya, prima che questo fosse modificato e trasformato nel pericolosissimo ransomware che tutti conosciamo (e la cui enorme diffusione è riconducibile proprio a TeleBots). Nel dettaglio, il modulo principale di GreyEnergy utilizzava praticamente il codice originale del worm NotPetya prima che fossero aggiunte le istruzioni in grado di sfruttare la vulnerabilità EternalBlue, che all’epoca non era ancora stata resa pubblica.
Ecco come funziona la catena infettiva di GreyEnergy
Molto simile a quella dei ransomware è anche la tecnica infettiva dell’APT GreyEnergy. In particolare, i ricercatori di sicurezza hanno osservato due diversi vettori di infezione: il classico spear phishing (campagne di phishing mirate verso gli indirizzi di un dominio di posta vittima dei criminal hacker) e la compromissione di server Web pubblici. Quando uno dei computer della rete target di GreyEnergy si collega a uno di questi server, immediatamente il codice malevolo tenta di spostarsi lateralmente su altre workstation. Oltre che come vettore di infezione primaria, l’APT utilizza questa tecnica anche per creare copie di backup di sé stesso per poi compromettere altre macchine.
Per passare inosservati ai controlli dei software di sicurezza, tutti i moduli di GreyEnergy sono stati firmati con un certificato digitale appartenente ad Advantech, un produttore taiwanese di hardware industriale e dispositivi IoT ai quali sono stati probabilmente rubati, proprio come avvenne nel caso di Stuxnet.
GreyEnergy: consigli utili per tutte le aziende
Anche se GreyEnergy prende di mira soltanto le centrali elettriche e le infrastrutture critiche, la sua analisi può essere molto utile per tutte le aziende suggerendo loro lezioni utili contro possibili infezioni.
Abbiamo detto che uno dei vettori di infezione dell’APT è lo spear phishing: vale quindi sempre la regola di sicurezza che non bisogna mai aprire allegati dei messaggi di posta elettronica di cui non conosciamo il mittente. E qualora lo conoscessimo, conviene sempre chiedere il supporto dei responsabili IT dell’azienda prima di effettuare il doppio clic sull’allegato: basta davvero poco, ad esempio, per avviare la catena infettiva di un ransomware e mettere così a rischio i preziosi dati aziendali e quindi gli asset produttivi veri e propri.
È poi importantissimo tenere sempre aggiornati non solo i software antivirus con le ultime firma virali, ma anche il sistema operativo e tutti i programmi utilizzati quotidianamente sul computer installando, appena disponibili, le patch rilasciate dai produttori. Ricordiamoci che minacce devastanti come NotPetya si sono diffuse proprio sfruttando una vulnerabilità di Windows.
Infine, è importante realizzare una corretta politica di security awareness tra i dipendenti in modo da tenere alto il loro livello di consapevolezza dei rischi che corrono effettuando operazioni non ammesse dalle politiche di sicurezza aziendali, avvisandoli periodicamente delle minacce in corso e utilizzando un team di esperti capace di monitorare e proteggere costantemente il perimetro “cyber” dell’azienda stessa.
