È una minaccia silenziosa quella che ha permesso di controllare per diversi mesi segretamente le reti delle organizzazioni di entità diplomatiche in Asia e Africa: gli attaccanti con la campagna APT (Advanced Persistent Threat) denominata TunnelSnake hanno distribuito un rootkit soprannominato Moriya.
Campagne simili erano state osservate in passato, ma questa sembra fosse attiva dal 2019 e ancora in corso. Questo malware ha un potere quasi assoluto sul sistema operativo tale da permettere agli attaccanti di intercettare il traffico di rete e nascondere i comandi dannosi inviati agli host infetti.
L’operazione TunnelSnake e il rootkit Moriya sono stati identificati dai ricercatori Giampaolo Dedola e Mark Lechtik di Kaspersky che ne hanno divulgato i meccanismi malevoli suggerendo anche una serie di indicazioni di protezione per prevenire ed evitare simili infiltrazioni criminali.
Indice degli argomenti
Operazione TunnelSnake e rootkit Moriya: i dettagli
L’indagine che ha portato alla luce TunnelSnake ha avuto origine da un set di alert di rilevamento su un unico rootkit denominato Moriya, individuato nelle reti di due grandi organizzazioni diplomatiche regionali nel sud-est asiatico e in Africa, mentre tutte le altre sono state vittime nell’Asia meridionale.
Gli attacchi sono stati altamente mirati e consegnati a meno di 10 vittime in tutto il mondo. Moriya distribuisce backdoor passive su server rivolti al pubblico, facilitando la creazione di un canale di comunicazione C&C nascosto attraverso il quale le vittime possono essere controllate in modo pervasivo e nascosto.
Infatti, è una backdoor passiva che consente agli aggressori di ispezionare tutto il traffico in entrata verso la macchina infetta, filtrare i pacchetti contrassegnati come designati per il malware e rispondere ad essi. Questo meccanismo forma un canale nascosto attraverso il quale gli aggressori possono emettere comandi della shell e ricevere indietro i loro output.
Sembra che il rootkit Moriya sia stato distribuito attraverso la compromissione di server web vulnerabili all’interno delle organizzazioni prese di mira.
In un caso, gli attaccanti hanno infettato un server con la webshell China Chopper, un codice malevolo che permette il controllo remoto del server infetto. Utilizzando l’accesso ottenuto con la webshell è stato possibile distribuire Moriya.
Gli strumenti malevoli usati nella campagna TunnelSnake
Nella campagna TunnelSnake sono stati impiegati un insieme di strumenti fatti su misura o precedentemente utilizzati da vari attori di lingua cinese. Questi strumenti hanno permesso agli attaccanti di scansionare gli host nella rete locale, trovare nuovi obiettivi, ed eseguire un movimento laterale per diffondersi ed esfiltrare i file.
Il rootkit implementa tecniche di evasione sofisticate per non essere rilevato dalle soluzioni di sicurezza. Infatti, intercetta ed ispeziona tutti i pacchetti di rete che transitano nello spazio degli indirizzi del kernel di Windows, una regione di memoria dove risiede il kernel del sistema operativo e dove in genere viene eseguito solo codice con elevati privilegi e considerato affidabile.
Dopo l’ispezione il malware nasconde i pacchetti malevoli prima che questi siano elaborati dallo stack di rete del sistema operativo. Inoltre, per richiedere i comandi, il rootkit non raggiunge server, come accade per la maggior parte delle backdoor comuni, piuttosto, riceve pacchetti appositamente contrassegnati, mescolati alla maggior parte del traffico di rete ispezionato dal malware.
In pratica, il rootkit attenda il traffico in entrata, anziché avviare una connessione a un server stesso, il che evita la necessità di incorporare un indirizzo C&C nel binario del malware o di mantenere un’infrastruttura C&C stabile.
Evitando il mantenimento di un’infrastruttura di comando e controllo, quindi, ostacola l’analisi e rende più difficile tracciare la sua malevola attività.
Le caratteristiche del rootkit Moriya
Il rootkit legato alle reti di organizzazioni diplomatiche regionali in Asia e Africa è stato rilevato in diversi casi risalenti a ottobre 2019 e maggio 2020, dove l’infezione è persistita nelle reti mirate per diversi mesi dopo ogni implementazione del malware.
Inoltre, è stata individuata un’altra vittima in Asia meridionale, caratterizzata dall’uso da parte degli attaccanti di un ampio set di strumenti per il movimento laterale insieme al rootkit, incluso uno strumento precedentemente utilizzato da APT1.
Sulla base dei timestamp di rilevamento di quel set di strumenti, i ricercatori hanno potuto stabilire come gli aggressori abbiano avuto un punto d’appoggio nella rete già dal 2018.
In quest’ultima campagna “asiatica” sono stati trovati anche due strumenti che contengono una versione in modalità utente del malware e un’altra utility basata su driver utilizzata per sconfiggere il software AV (Anti Visrus). Anche questi strumenti hanno significative sovrapposizioni di codice con Moriya.
Il funzionamento dettagliato del Codice Moriya e della campagna TunnelSnake è stato esplicitato e spiegato nel report pubblicato su Securelist.
Mancata attribuzione della minaccia APT
Non è stato possibile attribuire l’attacco a nessun attore noto in particolare, ma in base ai TTPs (Tecniche, Tattiche e Procedure) utilizzati durante la campagna, i ricercatori sospettano di soggetti di lingua cinese anche perché in precedenti occasioni di infezioni da Moriya le entità prese di mira erano state attaccate da attori di lingua cinese e si trovano generalmente in paesi che sono solitamente presi di mira da un tale profilo di attore.
Inoltre, gli strumenti sfruttati dagli aggressori, come China Chopper, BOUNCER, Termite e Earthworm, sono un ulteriore indicatore a supporto di questa ipotesi in quanto sono stati precedentemente utilizzati in campagne attribuite a noti gruppi di lingua cinese.
Giampaolo Dedola, senior security researcher del Global Research and Analysis Team di Kaspersky, uno dei due autori del Report, chiarisce come non sia stato possibile attribuire la campagna a un attore specifico ma, tenuto conto che sia gli obiettivi che gli strumenti utilizzati nell’APT sono connessi a gruppi conosciuti di lingua cinese, ha ritenuto molto probabile che anche in questo caso si tratti di un gruppo di lingua cinese.
Il ricercatore chiarisce: “abbiamo anche trovato una vecchia versione di Moriya utilizzata in un attacco isolato nel 2018, il che indica che l’attore è attivo da allora. Il profilo degli obiettivi e il toolset utilizzato suggeriscono che lo scopo dell’attore in questa campagna fosse lo spionaggio, anche se possiamo attestarlo solo parzialmente in quanto non abbiamo visibilità sui dati effettivamente trafugati”.
Cosa osservare della campagna APT
Fabrizio Cocco, esperto di sicurezza e autore del libro “Sicurezza delle reti grandi e distribuite” ha osservato per noi alcune delle caratteristiche della campagna TunnelSnake: “Ci troviamo di fronte ad un attore determinato, con un budget elevato e con capacità tecniche e tecnologiche sofisticate. L’elevato grado di sofisticazione della minaccia è palese, sia per le soluzioni tecnologiche adottate, ovvero una suite di tecniche, tool, malware “affinati” e personalizzati, sia per i target diplomatici individuati. Caratteristiche pienamente compatibili con l’attribuzione della minaccia a gruppi governativi filo-cinesi ipotizzata dagli analisti Kaspersky”.
“Si tratta”, continua l’esperto di sicurezza, “di malware finalizzato a rimanere anni all’interno dell’infostruttura vittima riducendo al minimo il footprint, per cui è abbastanza evidente che parliamo di attori statuali con molto tempo a disposizione (sette mesi prima del deploy del malware) e un cospicuo budget economico”.
“A livello tecnico”, prosegue ancora l’analisi di Fabrizio Cocco, “è di sicuro interesse il malware che si impianta e non effettua autonomamente alcuna connessione attendendo specifici pacchetti IP in entrata prima di attivarsi, in modo da non dare evidenza di connessioni al centro di comando e controllo che potrebbero allertare i sistemi di monitoraggio. Questo grado privilegiato di controllo del traffico di rete è possibile grazie all’installazione del malware come driver utilizzando una tecnica di bypass del Driver Signature Enforcement (DSE) che, sebbene non innovativa e già vista con Turla e Equation, rimane estremamente efficace ed ancora funzionante”.
“L’installazione così profonda permette di intercettare i comandi del Sistema Operativo a bassissimo livello, riuscendo anche ad eludere l’antivirus. Infatti, dal reverse engineering effettuato dagli esperti di Kaspersky, è emerso il ProcessKiller che permette anche di interrompere i processi dell’antivirus, mettendo a tappeto la capacità di rilevamento dei successivi payload”.
“Non ci sono certezze sul punto di ingresso di questa minaccia”, conclude Cocco. “Probabilmente, nonostante l’attore in questione possa contare su capacità di sviluppo e acquisto di 0-day, gli analisti ipotizzano lo sfruttamento di una vulnerabilità del 2017 su un servizio web esposto su Internet e non adeguatamente patchato. Se questa ipotesi fosse confermata, sarebbe dimostrato ancora una volta come le operazioni basilari per la prevenzione delle minacce informatiche siano ancora lontane dall’essere diffusamente applicate”.
Cosa sono i rootkit
I rootkit sono programmi che nascondono l’esistenza di malware intercettando / agganciando e modificando le chiamate API del sistema operativo che forniscono informazioni di sistema.
La funzionalità di attivazione dei rootkit o dei rootkit può risiedere a livello di utente o kernel nel sistema operativo o inferiore, per includere un hypervisor, un record di avvio principale o un firmware di sistema. I rootkit sono stati rilevati per i sistemi Windows, Linux e Mac OS X (fonte: MITRE ATT&CK framework).
I rootkit di Windows, in particolare quelli che operano nello spazio del kernel, sono pezzi di malware famigerati per la loro potenza quasi assoluta nel sistema operativo. Solitamente distribuiti come fossero driver di sistema, hanno privilegi elevati nel sistema, consentendo loro di intercettare e potenzialmente manomettere le operazioni di I / O principali condotte dal sistema operativo sottostante, come la lettura o la scrittura su file o l’elaborazione di pacchetti di rete in entrata e in uscita.
Questa alta integrabilità nel sistema operativo stesso, proprio come fanno i prodotti di sicurezza, è la qualità che fa guadagnare ai rootkit la notorietà per le caratteristiche di furtività ed evasività e questo li rende particolarmente graditi agli attaccanti perché consente loro di ottenere un accesso praticamente illimitato al computer infetto.
Negli anni, Windows non è rimasto a guardare e ha introdotto la Driver Signature Enforcement, che dovrebbe impedire il caricamento e l’esecuzione di nuovo codice nello spazio del kernel.
Questa ed altre misure hanno ridotto drasticamente il numero dei rootkit di Windows in circolazione proprio per la difficoltà di distribuire ed eseguire con successo un componente rootkit, soprattutto nello spazio del kernel, tuttavia campagne sofisticate verso target specifici, come TunnelSnake, dimostrano come la maggior parte dei rootkit di Windows siano sfruttati in attacchi APT di alto profilo.
Suggerimenti di protezione
Per proteggersi dalle Campagne APT, e in particolare dall’operazione TunnelSnake e dal rootkit Moriya, gli esperti di sicurezza suggeriscono di:
- eseguire audit di sicurezza regolari dell’infrastruttura IT per rivelare lacune e sistemi vulnerabili;
- utilizzare una soluzione di Endpoint Protection e aggiornarla regolarmente, perché possa rilevare anche i malware meno noti come questo rootkit;
- installare soluzioni anti-APT e EDR per individuare e rilevare le minacce e fare attività di investigation e remediation tempestivo di qualsiasi incidente;
- fornire al team SOC data feed affidabili di threat intelligence e aggiornare i team regolarmente con una formazione professionale.
Operazione TunnelSnake e rootkit Moriya: la prevenzione non basta
Fabrizio Cocco precisa che con attori determinati e specializzati come questi, la sola prevenzione non basta.
L’obiettivo odierno più efficace contro tutte le minacce è quello di ridurre al minimo il tempo che intercorre tra la prima fase dell’infezione e la rilevazione.
Solo così è possibile contenere e respingere la minaccia prima che sia troppo tardi. Un attore con queste capacità, in anni di permanenza nella rete, ne prenderebbe il controllo totale, anche superiore al proprietario stesso, rendendo estremamente arduo riuscire a risalire alle cause iniziali, ai danni subiti e ad eradicarne la sua presenza.
Per raggiungere questo obiettivo è assolutamente necessario investire in personale adeguatamente formato e addestrato, in grado di semplificare l’info struttura di rete, ridurre il rumore di fondo, censire i sistemi, i servizi e garantire un monitoraggio capillare per rilevare tempestivamente le anomalie.
Mark Lechtik senior security researcher del Global Research and Analysis Team di Kaspersky sottolinea come i cambi di strategia avvengano su entrambe i fronti di attacco e difesa: “Così come noi continuiamo ad attrezzarci per difenderci al meglio dagli attacchi mirati, anche i threat actor si ingegnano cambiando strategia. Osserviamo un numero sempre più alto di campagne simili a quella di TunnelSnake, dove gli attori adottano una serie di misure per rimanere nascosti il più a lungo possibil, e investono nei loro toolset rendendoli più personalizzati, complessi e difficili da rilevare. Allo stesso tempo, come è emerso dalla nostra scoperta, anche gli strumenti più sofisticati possono essere individuati e fermati. Questa è una gara senza fine tra fornitori di sicurezza e threat actor e per vincerla, la community di cybersecurity, deve continuare a lavorare insieme”.
