Cybersecurity, ecco come i gruppi criminali padroneggiano le tattiche di ‘False Flags’

di |

Attacchi mirati per ingannare le vittime e i team di sicurezza

Secondo un documento presentato al Virus Bulletin dai ricercatori di Kaspersky Lab, Brian Bartholomew e Juan-Andres Guerrero-Sade, gli hacker che compiono attacchi mirati usano una gamma sempre più vasta di tecniche ingannevoli per confondere l’attribuzione, impiantando, tra le altre cose, timestampFalse Flags’, stringhe di linguaggi, malware, e operando sotto copertura a nome di gruppi inesistenti.

 

Ciò che tutti si chiedono è quale sia l’identità del gruppo dietro un targeted cyberattack, ma è molto difficile, se non impossibile, stabilire precisamente chi siano davvero gli autori. Per dimostrare la crescente complessità e l’incertezza dell’attribuzione nel panorama attuale di threat intelligence, due esperti di Kaspersky Lab hanno pubblicato un documento che rivela come i gruppi criminali avanzati utilizzino le cosiddette operazioni False Flags per trarre in inganno le vittime e i ricercatori della cyber-sicurezza.

Gli indicatori più usati dai ricercatori per indicare da dove provengono gli attacchi e illustrare come un numero di gruppi criminali conosciuti li abbia manipolati, includono:

Timestamp

I file malware hanno un timestamp che indica quando sono stati creati. Se viene raccolto un numero abbastanza alto di sample collegati, è possibile determinare le ore di lavoro degli sviluppatori, e questo può dare un’idea del fuso orario delle loro operazioni. Tuttavia, i timestamp sono facilmente alterabili.

Language marker

I file malware spesso includono stringe e percorsi debug che possono dare un’idea di chi siano gli autori del codice. L’indizio più ovvio è la lingua usata e il relativo livello di conoscenza. I percorsi debug possono anche rivelare il nome utente e le convenzioni di denominazione interne per progetti o campagne. Inoltre, i documenti di phishing potrebbero essere pieni di metadati che possono involontariamente salvare le informazioni di stato che indicano il computer di un autore.

Tuttavia, i gruppi criminali possono manipolare facilmente i language marker per confondere i ricercatori. Alcuni indizi di linguaggi ingannevoli lasciati nei malware dal gruppo criminale Cloud Atlas includevano stringhe in arabo nella versione per BlackBerry, caratteri in hindi nella versione per Android e le parole ‘JohnClerk’ nel percorso del progetto per iOS – anche se in molti sospettano che il gruppo abbia dei collegamenti con l’Est Europa. Il malware usato dal gruppo criminale Wild Neutron includeva stringhe di linguaggio sia in romeno che in russo.

Collegamenti infrastrutturali e di back-end

Trovare il server di Command and Control (C&C) usato dagli hacker è come individuare il loro indirizzo di casa. Le infrastrutture C&C possono essere costose e difficili da mantenere, quindi anche gli hacker con più risorse hanno la tendenza a riutilizzare i server C&C o le infrastrutture di phishing. Le connessioni back-end consentono di svelare gli hacker, se questi non rendono adeguatamente anonime le connessioni internet quando recuperano i dati da server di esfiltrazione o email, preparano il server di staging o phishing o controllano un server hackerato.

A volte, tuttavia, questi errori sono intenzionali: il gruppo Cloud Atlas ha provato a confondere i ricercatori usando indirizzi IP della Corea del Sud.

Toolkit: malware, codici, password, exploit

Nonostante alcuni gruppi criminali utilizzino tool disponibili pubblicamente, molti preferiscono creare backdoor, strumenti di lateral movement ed exploit personalizzati, proteggendoli gelosamente. La comparsa di una famiglia di malware specifica può perciò aiutare i ricercatori a individuare un gruppo criminale.

Il gruppo criminale Turla ha deciso di approfittarne quando si è trovato con le spalle al muro all’interno di un sistema danneggiato. Invece che ritirare il proprio malware, i cyber criminali hanno installato un raro pezzo di malware cinese che comunicava con infrastrutture collocate a Pechino, completamente estranee a Turla. Mentre il team di risposta agli incidenti delle vittime ha inseguito il malware ingannevole, il gruppo Turla ha tranquillamente disinstallato il proprio malware per poi cancellarne ogni traccia dai sistemi delle vittime.

Le vittime

I bersagli degli hacker sono un altro possibile indizio rivelatorio, sebbene stabilire un collegamento accurato richieda un forte senso di interpretazione e analisi. Nel caso del gruppo Wild Neutron, ad esempio, la lista delle vittime era così varia da confondere l’attribuzione.

Inoltre, alcuni gruppi criminali abusano del desiderio di una connessione chiara tra l’hacker e la vittima, operando sotto copertura a nome di un gruppo di hacktivist, spesso inesistente. E’ ciò che ha provato a fare il Gruppo Lazarus  spacciandosi per i “Guardiani della Pace” durante l’attacco a Sony Pictures Entertainment nel 2014. In molti ritengono che anche il gruppo criminale Sofacy abbia adottato una tattica simile, fingendosi diversi gruppi di hacktivist.

Infine, alcuni hacker tentano di far ricadere la colpa su un altro gruppo di criminali. Questo approccio è stato adottato dal gruppo TigerMilk, finora non identificato, che ha firmato le proprie backdoor con gli stessi certificati rubati, usati in precedenza da Stuxnet.

“L’attribuzione di attacchi mirati è complicata, inaffidabile e soggettiva – i gruppi criminali manipolano sempre di più gli indicatori su cui si basano i ricercatori, confondendo sempre di più le acque. L’attribuzione accurata è spesso quasi impossibile. Inoltre, la threat intelligence ha valori profondi e misurabili che vanno oltre il “chi è stato”. C’è un bisogno globale di capire chi siano gli hacker più forti nell’ecosistema dei malware e fornire un’intelligence efficace alle aziende – questo dovrebbe essere il nostro focus”, ha dichiarato Brian Batholomew, Senior Researcher di Kaspersky Lab.

Per saperne di più su come i False Flags sono usati per confondere le attribuzioni negli attacchi mirati, visitate Securelist.com.

Per maggiori informazioni sul servizio di report di Intelligence APT di Kaspersky Lab, visitate http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting