Conti Leaks, altro spionaggio cinese e la situazione della propaganda cyber
Buon sabato e ben ritrovato caro cyber User. Il perdurare della guerra in Ucraina, fa assistere gran parte del mondo occidentale ad almeno altri due scenari di guerra: quella cyber e quella di propaganda. Facciamoci spazio nel marasma informativo e cerchiamo di recuperare alcuni punti fermi di questa settimana.
In breve oggi ti parlo di:
Conti Leaks aiuta a capire alcuni retroscena criminali
Cyber spionaggio da oriente verso l'Europa strategica
L'hacktivismo contro obiettivi russi continua
Conti Leaks aiuta a capire alcuni retroscena criminali
La recente fuga di codice sorgente, log di chat e tonnellate di altri dati sensibili relativi a Conti, il più popolare gruppo criminale di ransomware degli ultimi anni, ha portato a diverse rivelazioni sul loro meccanismo operativo e struttura organizzativa. Diversi ricercatori hanno studiato, analizzato i dati trapelati per mettere a nudo maggiori informazioni sul malware, anche io tuttora ne sto ancora tracciando alcuni dettagli (la quantità di dati è elevata).
Struttura organizzativa del gruppo
Si è delineato un organigramma dettagliato che mostra gli operatori di Conti ai vari livelli di funzionamento. Da questo momento in poi, non dobbiamo più immaginare i gruppi ransomware come piccoli covi di appassionati senza lavoro che smanettano qua e la. Le informazioni acquisite confermano che si tratta di una struttura molto efficiente e ben organizzata al pari di un contesto aziendale.
C'è il CEO "Stern", il grande capo, con "Salamandra" il responsabile delle risorse umane e dei processi di reclutamento.
Altre figure chiave del gruppo, identificate come "Bio" (blogger/negoziatore), "Mango" (capogruppo/moderatore), "Revers" (responsabile tecnico), "Bentley" (amministratore di sistema) e "Twin" (formazione).
Secondo Chainanysis, l'anno scorso Conti ha estorto circa 180 milioni di dollari, acquisendo il titolo di miglior guadagno per le operazioni di ransomware nel 2021. Si segue inoltre un iter di reclutamento per la ricerca delle persone più idonee a ricoprire i ruoli specifici necessari per eseguire i crimini. Spesso non viene riferito ai dipendenti (stipendiati mediante BTC), l'appartenenza ad un gruppo criminale, ma la si presenta come un normale lavoro. Circa 100 lavoratori assunti a tempo pieno, reclutati accedendo direttamente ai DB di portale per il lavoro (con preziario https://hhcdn.ru/file/16899324.pdf), coprono turni per le 24 ore su 7 giorni. Alcuni si lamentano per il poco tempo libero, altri sono contenti e soddisfatti, altri ancora non sopportano più la monotonia del lavoro. Insomma problematica umane di qualsiasi realtà lavorativa comune. Solo che stiamo parlando di un'organizzazione criminale, prevalentemente russa.
Dettagli operativi
Quando gli operatori compromettono qualsiasi Active Directory, cercano persone potenzialmente interessanti come amministratori, ingegneri o qualcuno nell'IT.
Uno dei moduli della documentazione manualistica recita "COME E QUALI INFORMAZIONI SCARICARE".
Conti sembra essere interessato a documenti finanziari, contabilità, clienti e progetti. Cerca anche server di backup per crittografarli.
Adorano prendere parte a speculazioni in criptovaluta (presumibilmente dietro anche alla grande truffa di SQUID, per loro un grande guadagno).
I dipendenti vengono formati e testati con veri compiti a casa, nei quali però si sviluppano cryptolocker con caratteristiche ben definite (es. la non rilevabilità da parte di antivirus specifici).
Analisi del codice sorgente
Un'analisi del codice sorgente di Conti fa capire che le informazioni rivelate possono aiutare le organizzazioni a proteggersi.
Una delle fughe di dati conteneva 12 repository Git di presunti software Conti interni. Una rapida ispezione di questi repository ha rivelato che la maggior parte di questi codici sembra essere un software open source utilizzato dal gruppo.
Ad esempio, yii2 o Kohana vengono utilizzati come parte del pannello di amministrazione, principalmente scritto in PHP e gestito da Composer. Uno dei repository di uno strumento è stato scritto invece in Golang.
I ricercatori di sicurezza che seguono il gruppo hanno tra le mani un patrimonio abbastanza prezioso e rilevante per le proprie indagini. Il leak infatti offre informazioni senza precedenti sull'attività e le operazioni del gruppo. Alla fine aiuterà ricercatori ed esperti a ideare misure protettive per garantire la sicurezza da minacce simili in futuro. Se questa storia ti è piaciuta, invito a seguire la parola "Conti" sul blog, perché man mano che raccolgo un certo numero di informazioni pubblico un continuo di questa avventura investigativa (nonché tutti i leak anche di Trickbot).
Cyber spionaggio da oriente verso l'Europa strategica
TA416 (conosciuto anche come Red Delta), un gruppo supportato e sponsorizzato dalla Cina, prende di mira entità diplomatiche europee coinvolte nei servizi per rifugiati e migranti, proprio nel bel mezzo della guerra dalla vicina Russia in Ucraina. Il gruppo ha sfruttato bug noti per profilare i propri obiettivi.
Gli attacchi in corso
Secondo ProofPoint, gli interessi degli attori delle minacce nella logistica e nelle politiche dei rifugiati coincidono con il conflitto armato in corso tra Russia e Ucraina.
La campagna utilizza bug web per profilare le vittime e inviare una variante di malware PlugX.
Il gruppo ha aggiornato la sua variante PlugX e ha cambiato il suo metodo di codifica ampliando le capacità di configurazione.
Un'analisi dei payload forniti e delle risorse autentiche ottenute dagli URL della prima fase rivela che il gruppo di minacce sta utilizzando una versione aggiornata, appunto, del malware PlugX.
Attribuzione a TA416
L'operatore identificato nelle recenti campagne che distribuisce malware PlugX è lo stesso osservato in precedenza nella campagna TA416/Red Delta del 2020.
I ricercatori hanno osservato la ripetizione di modelli di sfruttamento vulnerabilità e vittimologia coerente nelle campagne 2020, 2021 e 2022.
Inoltre, la campagna aveva utilizzato una struttura di denominazione dei file identica tra i file PDF e Zip, insieme a TTP Trident Loader molto simili utilizzati per l'esecuzione del malware PlugX.
La campagna contro le entità diplomatiche europee riflette l'interesse geopolitico del gruppo TA416. Inoltre, il gruppo ha apportato aggiornamenti rapidi e sbalorditivi al loro toolkit PlugX, che potrebbe essere motivo di preoccupazione per gli obiettivi futuri. Ovviamente anche in questo caso, i maggiori e primi obiettivi sono quei target che emergono nelle scansioni del web per esposizione di servizi non aggiornati e scarsamente mantenuti.
L'hacktivismo contro obiettivi russi continua
Anonymous ha ripreso (ammesso che fosse in pausa: sembrava aver calato l'attività negli ultimi giorni) la sua campagna di deturpazione contro le telecamere russe a circuito chiuso collegate in rete, truccandole per mostrare messaggi del tipo "Putin sta uccidendo bambini" e "352 civili ucraini morti. I russi hanno mentito a 200RF.com. Slava Ukraini! Hackerato da Anonymous", come ha riportato Vice.
Anche i siti web del governo russo sono stati attaccati. In un annuncio insolito, il Ministero russo dello sviluppo digitale e delle comunicazioni ha affermato che gli attacchi erano "senza precedenti". Sembrerebbero, da uno spunto offerto dal Washington Post, un misto tra attacchi DDoS (Distributed Denial-of-Service) e defacement di siti web. Una dichiarazione del ministero, apparentemente indirizzata agli attacchi DDoS, afferma: "Stiamo registrando attacchi senza precedenti sui siti Web delle autorità governative. Se la loro capacità nelle ore di punta ha raggiunto 500 GB prima, ora è arrivata fino a 1 TB. Cioè, due volte più potenti degli incidenti più gravi di questo tipo registrati in precedenza".
Tra le deturpazioni del sito Web ce n'era una che riguardava il sito Web del ministero russo per le situazioni di emergenza il cui contenuto è stato modificato. Il numero telefonico di recapito del ministero è stato sostituito dal titolo "Torna vivo dall'Ucraina", seguito da un numero di soldati russi che potrebbero chiedere assistenza se fossero interessati alla diserzione.
La propaganda 2022
Il tutto è sempre contornato, già dall'inizio, da uno sfondo di propaganda ampiamente diffusa online, e segue di pari passo l'hacktivismo. Chiunque in Russia volesse seguire il presidente ucraino Volodymyr Zelensky, il discorso al Congresso di mercoledì, potrebbe trovarlo su Telegram, insieme alle immagini della Russia che bombarda aree civili in Ucraina. Gli utenti si stanno spostando in massa su Telegram da app vietate come Instagram di Meta Platforms Inc. e altre che sono minacciate di essere bloccate, come YouTube di Alphabet Inc.
Un portavoce di Telegram ha affermato al WSJ che la società non sa perché le autorità di regolamentazione russe non hanno bloccato l'applicazione o se tenteranno di farlo. Ha affermato che Telegram ha visto "un notevole afflusso di utenti da Russia e Ucraina", aggiungendo: "Crediamo nella libertà di parola e siamo orgogliosi di poter servire persone in diversi paesi in tempi difficili".
A proposito di propagando difficile non pensare al deepfake della settimana. Un video completamente falso del presidente ucraino Volodymyr Zelenskyy che sembrava dire agli ucraini di arrendersi e ha iniziato a diventare virale online a seguito di un attacco al notiziario televisivo ucraino Ukraine 24.
Ukraine 24 ha dichiarato in un post su Facebook che “La linea di trasmissione del canale TV Ukraine 24 e il sito web Today sono stati hackerati da gruppi russi e hanno trasmesso il messaggio di Zelenskyy sulla presunta 'capitolazione'. Nessuno al momento, ha rivendicato la responsabilità del presunto hack o del video falso. (Ne parla bene Motherboard)
Telegram e il cyber crimine in guerra
Lo sfruttamento di Telegram da parte dei criminali informatici non è una novità. Raccoon Stealer, per esempio, ne abusa per operare in modalità invisibile. Gli esperti ritengono che gli sviluppatori di questo malware continueranno ad aggiungere nuove funzionalità per renderlo efficiente.
I criminali informatici dietro Raccoon Stealer utilizzavano infatti la app di chat per archiviare e aggiornare gli indirizzi C2 da diffondere all'interno di macchine infette. Di recente, è stata aggiunta la possibilità di aggiornare i propri indirizzi C2 effettivi sull'infrastruttura di Telegram. Il rapporto ha rivelato che la versione ultima di Raccoon Stealer comunica con il suo C2 all'interno di Telegram. Finora, l'aggressore ha diffuso stealer per dati su criptovaluta, downloader e ransomware WhiteBlackCrypt. Per precauzione, l'arma in mano alle organizzazioni, contro queste minacce, al momento è sempre utilizzare soluzioni anti-malware affidabili, che hanno dei tempi di aggiornamento molto frequenti.
Saluti finali
Visto il tema caldo sugli antivirus, che ci accompagna ormai attivamente dall'inizio di questa guerra russa, va detto che in settimana aggiornamenti antivirus falsi sono stati utilizzati per installare Cobalt Strike e altri malware sui sistemi informatici in Ucraina. Questi aggiornamenti vengono distribuiti tramite e-mail di phishing che fingono di provenire da agenzie governative ucraine. Includono un collegamento a un sito Web francese che contiene un pulsante di download per i presunti aggiornamenti del software antivirus Microsoft Defender, software di protezione includo in Windows, depositando così le radici per l'infiltrazione nel sistema vittima.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.