Lazarus, la famigerata APT (Advanced Persistent Threat) che mantiene stretti legami con il regime nordcoreano e identificata anche come APT38, Hidden Cobra e Zinc, già nota per la diffusione del ransomware WannaCry nel 2017, è tornata in azione e questa volta ha deciso di fare le cose in grande sviluppando MATA, un framework malevolo in grado di colpire sistemi Windows, macOS e Linux con attacchi ransomware e di cyber spionaggio mirati verso aziende e organizzazioni Enterprise di tutto il mondo.
Indice degli argomenti
Cos’è MATA (framework multipiattaforma per malware)
Il nuovo malware multipiattaforma, identificato dai ricercatori di sicurezza di Kaspersky, è dotato di un’ampia gamma di funzionalità progettate per svolgere una varietà di attività dannose sulle macchine infette: in questo modo, i criminal hacker riescono ad adattarsi ai differenti ambienti IT e OT indipendentemente dalla loro complessità e aggiustare rapidamente le loro strategie di attacco acquisendo le necessarie TTPs (tecniche, tattiche e procedure) per infiltrarsi facilmente nei sistemi target.
Secondo il rapporto pubblicato da Kaspersky, la campagna malevola di MATA sarebbe iniziata già nell’aprile del 2018 e avrebbe colpito società nei settori dello sviluppo di software, dell’e-commerce e dei provider di servizi Internet, principalmente dislocate in Polonia, Germania, Turchia, Corea, Giappone e India.
La diffusione geografica degli attacchi hacker identificati finora e condotti sfruttando il framework MATA.
In particolare, un’infrastruttura di base molto simile a quella di MATA è stata individuata lo scorso dicembre nel RAT (Remote Access Trojan) Dacls in grado di colpire le piattaforme Windows e Linux. A maggio, poi, una variante del RAT per sistemi macOS è stata distribuita tramite un’applicazione trojanizzata per l’autenticazione a due fattori (2FA).
Come funziona il framework MATA
La versione per Windows di MATA (così come quelle per Linux e macOS) è composta da diverse componenti malevoli.
Dai campioni analizzati sembrerebbe che i criminal hacker abbiano utilizzato un malware con funzioni di loader per caricare il payload criptato utilizzato nelle fasi successive dell’attacco vero e proprio: si tratterebbe, in particolare, del un modulo di orchestrazione distribuito attraverso il file lsass.exe che serve per caricare 15 plugin aggiuntivi contemporaneamente ed eseguirli nella memoria del sistema target.
I ricercatori Kaspersky non hanno, al momento, i dati di telemetria necessari per confermare che il payload sia realmente il modulo orchestratore, ma dalle analisi compiute finora risulta comunque che quasi tutte le vittime hanno sia il payload sia l’orchestratore sulla loro macchina.
I componenti della versione del framework MATA per Windows.
I plugin aggiuntivi aggiungono ulteriori funzionalità al framework MATA e consentono quindi al malware di manipolare file e processi di sistema, iniettare librerie DLL e creare un server proxy HTTP. Inoltre, consentono ai criminal hacker di compromettere anche dispositivi di rete senza disco basati su Linux come router, firewall o dispositivi IoT, e sistemi macOS mascherandosi come un’applicazione di autenticazione a due fattori chiamata TinkaOTP e basata sull’applicazione open source MinaOTP.
Nella fase successiva dell’attacco, ottenuto il pieno accesso all’infrastruttura della vittima, i criminal hacker cercano quindi di localizzare eventuali database aziendali ed eseguono diverse query nel tentativo di acquisire i dettagli dei clienti.
Dopodiché, i malware attiva una comunicazione diretta con il server di comando e controllo (C2) utilizzando una connessione TLS1.2.
I ricercatori Kaspersky hanno reso nota anche una curiosità: il framework MATA, in particolare, sarebbe stato utilizzato per distribuire il ransomware VHD a una vittima anonima. Ciò confermerebbe la possibilità di utilizzare il malware anche in pericolosi attacchi mirati.
Come avvengono le fuoriuscite dei dati, i cosiddetti “data leak”
Viene spontaneo chiedersi come mai le aziende lasciano i propri dati accessibili a chiunque, in particolare informazioni sensibili come i codici sorgente.
Bisogna considerare che buona parte delle attività ormai sono svolte online, i dati sono condivisi, caricati su server o memorizzati su cloud e non sempre il controllo degli accessi viene gestito con attenzione.
In particolare, spesso si commettono errori, distrazioni, si dà per scontato che nessuno andrà mai a guardare all’interno di alcuni file di un software, analizzerà le comunicazioni di rete o andrà a cercare percorsi su siti web e indirizzi IP se sono noti a una cerchia ristretta di persone, ad esempio agli sviluppatori.
Vengono così sottovalutati gli indirizzi lasciati in chiaro all’interno di file, le aree dei siti web non indicizzate dai motori di ricerca (ma raggiungibili) o peggio ancora indicizzate all’insaputa dei proprietari.
Spesso si va anche oltre: vengono cablati nei codici anche token di autenticazione per API o persino intere credenziali, con indicazioni precise sugli account di versioning utilizzati dall’azienda, che analizzati invece da terzi possono portare ad accedere a interi repository.
Pensiamo poi a eventuali condivisioni attivate nel cloud, magari dimenticate da mesi o anni e in qualche modo rese note al pubblico, così da diventare accessibili all’insaputa del proprietario. Le modalità con le quali i dati possono fuoriuscire dal perimetro aziendale sono quindi numerose, l’aspetto rilevante però è proprio che si tratta spesso di una fuoriuscita dei dati, più che di un accesso dall’esterno, il che fa comprendere come tutta la questione sia da non sottovalutare”.
Metodologie di ricerca online dei leak aziendali
È dunque utile approfondire quali metodologie e strumenti vengono utilizzati dai ricercatori ma anche dalle aziende per cercare online dati potenzialmente riservati.
Uno dei metodi più utilizzati anche nel contesto dei cosiddetti “leak” sia quello basato sull’OSINT. Tramite tecniche e strumenti di Open Source Intelligence, infatti, è possibile eseguire ricerche online finalizzate a reperire le informazioni riservate eventualmente presenti online, lavorando su diversi fronti.
Per quanto riguarda il codice, è indispensabile verificare la configurazione delle aree di condivisione e versioning, così come accertarsi che nel codice pubblicato (sia online sia all’interno delle app) non siano cablati indirizzi, credenziali, token.
Anche i siti web possono diventare fonte di approvvigionamento per chi è interessato ad accedere ai dati aziendali, ad esempio tramite siti come Shodan, tramite Google Dorks, tramite lo studio dei file robots, le sitemap, tramite crawling/scraping, analizzando link entranti e uscenti, studiando il codice HTML dei siti, approfittando di eventuali configurazioni errate relative al listing delle directory, l’utilizzo di percorsi facilmente identificabili con strumenti come dirbuster o gobuster e tanti altri piccoli e grandi punti di accesso.
Uno dei sistemi per rimanere aggiornati, quantomeno sui leak indicizzati, è quello di attivare servizi di alerting su parole strategiche come ad es. parti del proprio codice sorgente, indirizzi di posta, persino password.
Oltre al ben noto Google Alert è da anni disponibile un ottimo sistema di alerting chiamato TalkWalker Alerts, che spesso è persino più reattivo di Google ma soprattutto è più orientato ai social network come Twitter o ai blog.
Non sarebbe male, poi, monitorare anche il dark web, per quanto sia cosa decisamente più complessa: un punto di partenza seppur limitato può essere quello di approfondire il funzionamento del motore di ricerca ahmia.fi e utilizzarne le funzioni per scoprire nuovi siti Onion da monitorare per verificare che non pubblichino informazioni riservate.
Come bloccare un eventuale attacco con MATA
La scoperta del framework MATA conferma una volta di più quanto sia ormai importante che le aziende adottino efficienti sistemi di protezione dei sempre più preziosi dati archiviati nei loro sistemi.
Per questo motivo, è fondamentale innanzitutto allestire un sistema di backup che garantisca le necessaria continuità operativa aziendale e di recuperare velocemente i dati eventualmente bloccati durante un attacco ransomware.
È importante, inoltre, installare una soluzione di endpoint security dotata possibilmente di intelligenza artificiale e machine learning per identificare, bloccare e prevenire ogni possibile perdita di informazioni riservate.
