MILANO – I ricercatori di Kaspersky hanno scoperto TunnelSnake, una campagna di minacce avanzate persistenti (APT) attiva dal 2019 e ancora in corso, che ha preso di mira entità diplomatiche in Asia e Africa. Gli attaccanti hanno distribuito un rootkit precedentemente sconosciuto soprannominato Moriya. Questo malware, in grado di ottenere il potere quasi assoluto del sistema operativo, ha permesso ai threat actor di intercettare il traffico di rete e nascondere i comandi dannosi inviati agli host infetti. Questo ha consentito agli attaccanti di controllare segretamente le reti delle organizzazioni prese di mira per diversi mesi.
I rootkit sono programmi malevoli o collezioni di software che consentono agli attaccanti di ottenere un accesso praticamente illimitato al computer infetto. I rootkit sono noti per la loro capacità di nascondersi e di fondersi all’interno del tessuto del sistema operativo. Grazie alle misure adottate da Microsoft nel corso degli anni per proteggere i sistemi, è diventato sempre più difficile riuscire a distribuire ed eseguire con successo un componente rootkit, soprattutto nello spazio del kernel. La maggior parte dei rootkit di Windows, infatti, ora vengono sfruttati in attacchi APT di alto profilo, come TunnelSnake.
L’indagine su questa campagna è iniziata quando Kaspersky ha ricevuto una serie di alert relativi al rilevamento di un rootkit unico all’interno delle reti prese di mira. Questo rootkit, soprannominato Moriya, risultava particolarmente evasivo grazie a due caratteristiche. Intercettava e ispezionava i pacchetti di rete che transitavano dallo spazio degli indirizzi del kernel di Windows, una regione di memoria dove risiede il kernel del sistema operativo e dove in genere viene eseguito solo codice con elevati privilegi e considerato affidabile. Questo ha permesso al malware di ispezionare il traffico e nascondere i pacchetti malevoli prima che questi venissero elaborati dallo stack di rete del sistema operativo.
Questo ha permesso agli attaccanti di non essere rilevati dalle soluzioni di sicurezza. Inoltre, per richiedere i comandi, il rootkit non ha raggiunto alcun server, come accade per la maggior parte delle backdoor comuni, li ha invece ricevuti in pacchetti appositamente contrassegnati, mescolati alla maggior parte del traffico di rete ispezionato dal malware. In questo modo il rootkit ha potuto evitare di mantenere un’infrastruttura di comando e controllo, ostacolando così l’analisi e rendendo l’attività più difficile da tracciare.
Moriya è stato per lo più distribuito attraverso la compromissione di server web vulnerabili all’interno delle organizzazioni prese di mira. In un caso, gli attaccanti hanno infettato un server con la webshell China Chopper, un codice malevolo che permette il controllo remoto del server infetto. Utilizzando l’accesso ottenuto con la webshell è stato possibile distribuire il rootkit Moriya.
Inoltre, insieme al rootkit sono stati impiegati un insieme di strumenti fatti su misura o precedentemente utilizzati da vari attori di lingua cinese. Questi strumenti hanno permesso agli attaccanti di scansionare gli host nella rete locale, trovare nuovi obiettivi, ed eseguire un movimento laterale per diffondersi ed esfiltrare i file.
“Non è stato possibile attribuire la campagna a un attore specifico ma tenuto conto che sia gli obiettivi che gli strumenti utilizzati nell’APT sono connessi a gruppi conosciuti di lingua cinese è molto probabile che anche in questo caso abbiamo a che fare con un gruppo di lingua cinese. Abbiamo anche trovato una vecchia versione di Moriya utilizzata in un attacco isolato nel 2018, il che indica che l’attore è attivo da allora. Il profilo degli obiettivi e il toolset utilizzato suggeriscono che lo scopo dell’attore in questa campagna fosse lo spionaggio, anche se possiamo attestarlo solo parzialmente in quanto non abbiamo visibilità sui dati effettivamente trafugati”, ha commentato Giampaolo Dedola, senior security researcher del Global Research and Analysis Team di Kaspersky.
“Così come noi continuiamo ad attrezzarci per difenderci al meglio dagli attacchi mirati, anche i threat actor si ingegnano cambiando strategia. Osserviamo un numero sempre più alto di campagne simili a quella di TunnelSnake, dove gli attori adottano una serie di misure per rimanere nascosti il più a lungo possibil, e investono nei loro toolset rendendoli più personalizzati, complessi e difficili da rilevare. Allo stesso tempo, come è emerso dalla nostra scoperta, anche gli strumenti più sofisticati possono essere individuati e fermati. Questa è una gara senza fine tra fornitori di sicurezza e threat actor e per vincerla, la community di cybersecurity, deve continuare a lavorare insieme”, ha aggiunto Mark Lechtik, senior security researcher del Global Research and Analysis Team di Kaspersky.
È possibile leggere il report completo sulla campagna TunnelSnake su Securelist.
Maggiori informazioni sugli Indicatori di Compromissione relativi a questa operazione, compresi gli hash dei file, sono accessibili sul Kaspersky Threat Intelligence Portal.
Le aziende che vogliono proteggersi dalle campagne APT devono adattare le seguenti misure suggerite dagli esperti di Kaspersky:
- Eseguire audit di sicurezza regolari dell’infrastruttura IT per rivelare lacune e sistemi vulnerabili.
Utilizzare una soluzione di sicurezza endpoint affidabile, come Kaspersky Endpoint Security for Business e aggiornarla regolarmente, in modo che possa rilevare anche i malware meno noti come questo rootkit.
· Installare soluzioni anti-APT e EDR capaci di individuare e rilevare le minacce e fare attività di investigation e remediation tempestivo di qualsiasi incidente. Fornire al team SOC l’accesso alla più recente threat intelligence e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno di Kaspersky Expert Security Framework.
· Formare i team di sicurezza ad affrontare le nuove minacce mirate con corsi di formazione online come Targeted Malware Reverse Engineering, recentemente sviluppato dagli esperti del GReAT team di Kaspersky.