lunedì 7 settembre 2015

Kaspersky, Darkhotel impiega gli exploit fuoriusciti da Hacking Team


La campagna Darkhotel, che si rivolge agli utenti aziendali degli alberghi di lusso, si è evoluta con l'utilizzo di nuove tecniche e di una vulnerabilità 0-day precedentemente sconosciuta. In seguito alla fuoriuscita di file appartenenti ad Hacking Team, l’azienda conosciuta per la vendita di “spyware legale” ad alcuni governi e forze dell’ordine, un discreto numero di gruppi di spionaggio informatico ha cominciato ad utilizzare per i propri scopi nocivi i tool che Hacking Team forniva ai propri clienti per mettere a segno i loro attacchi. Tra questi, parecchi exploit che hanno per obiettivo Adobe Flash Player e Windows OS. Uno di questi è stato ri-finalizzato dal potente gruppo di cyber-spionaggio Darkhotel.

Kaspersky Lab ha svelato che Darkhotel, il gruppo che spiava viaggiatori d’élite scoperto nel 2014 sempre dagli esperti di Kaspersky Lab e famoso per essersi introdotto nelle reti Wi-Fi di alcuni hotel di lusso per compromettere i dispositivi di determinati dirigenti d’azienda, dall’inizio di luglio, cioè subito dopo la famosa fuga di notizie del 5 luglio, ha utilizzato una vulnerabilità zero-day facente parte della collezione di Hacking Team. Il gruppo Darkhotel, che non risulta essere stato cliente di Hacking Team, pare si sia impossessato dei file non appena questi sono diventati pubblicamente disponibili.

Questo non è l’unico zero-day del gruppo; secondo Kaspersky Lab, nel corso degli ultimi anni potrebbero aver sfruttato una mezza dozzina o più zero-day che hanno preso di mira Adobe Flash Player, apparentemente investendo significative quantità di denaro per integrare il proprio arsenale. Nel 2015, il gruppo Darkhotel ha esteso la propria sfera geografica di influenza in tutto il mondo continuando a colpire tramite spearphishing obiettivi situati in Nord e Sud Corea, Russia, Giappone, Bangladesh, Thailandia, India, Mozambico e Germania. I ricercatori di sicurezza di Kaspersky Lab hanno registrato nuove tecniche ed attività condotte da Darkhotel inclusa una famosa APT (Advanced Persistent Threat) attiva da almeno otto anni.

Negli attacchi che risalgono al 2014 e agli anni precedenti, il gruppo ha abusato di certificati di firma del codice rubati ed utilizzato metodi insoliti, come compromettere il Wi-fi di un hotel per collocare tool di spionaggio nei sistemi presi di mira. Nel 2015, molte di queste tecniche ed attività sono state mantenute, ma Kaspersky Lab ha inoltre individuato nuove varianti di file eseguibili dannosi, il continuo utilizzo di certificati rubati, potenti tecniche di social-engineering tramite spoofing ed il dispiegamento di vulnerabilità zero-day riconducibili ad Hacking Team. Uso continuo di certificati rubati. Darkhotel sembra essere in possesso di una scorta di certificati rubati che sfrutta per firmare downloader e backdoor per ingannare i sistemi presi di mira.

Foto credit: www.kaspersky.com

Alcuni tra i certificati revocati più di recente comprendono Xuchang Hongguang Technology Co. Ltd., l’azienda i cui certificati erano stati utilizzati negli attacchi precedentemente condotti dal gruppo criminale. “Inesorabile” spearphishing. L’APT di Darkhotel è davvero persistente: se non riesce a colpire un bersaglio tramite spearphishing, ci riprova alcuni mesi dopo utilizzando pressoché gli stessi schemi di social-engineering. Dispiegamento di exploit zero-day appartenenti ad Hacking Team. Il sito web compromesso, tisone360.com, contiene un set di backdoor ed exploit. Il più interessante di questi è la vulnerabilità zero-day Flash di Hacking Team. 

“Darkhotel è tornato con un altro exploit Adobe Flash Player collocato su un sito web compromesso e questa volta sembra essere stato guidato da una fuga di notizie di Hacking Team. Il gruppo ha precedentemente distribuito un altro exploit Flash sullo stesso sito, che abbiamo segnalato come zero-day per Adobe nel Gennaio 2014. Negli ultimi anni, Darkhotel sembra aver sfruttato numerosi exploit zero-day e half-day Flash e potrebbe averne messi da parte altri in modo da condurre attacchi mirati diretti ad individui di alto profilo a livello globale” – ha dichiarato Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.  

“Dagli attacchi precedenti, abbiamo scoperto che Darkhotel prende di mira CEO, senior vice president, sales and marketing director e staff R&S di alto profilo” – ha aggiunto Baumgartner. Dallo scorso anno, il gruppo ha lavorato alacremente per migliorare le proprie tecniche difensive, ad esempio ampliando la propria lista di tecnologie anti-rilevamento. La versione 2015 del downloader Darkhotel è progettata per identificare tecnologie anti-virus di 27 vendor allo scopo di aggirarli. I prodotti Kaspersky Lab rilevano e bloccano con successo i nuovi moduli Darkhotel come Trojan.Win32.Darkhotel e Trojan-Dropper.Win32.Dapato

Darkhotel si è evoluta al punto in cui il codice viene generalmente nascosto dietro strati di crittografia per evitare il rilevamento. Per saperne di più, è possibile leggere il blogpost disponibile su Securelist.com. Indicazioni generali su come ridurre il rischio APT sono fornite nell’articolo “How to mitigate 85% of all targeted attacks using 4 simple strategies” disponibile qui. Per saperne di più su come è possibile proteggere la propria azienda contro la minaccia Darkhotel collegarsi qui. Kaspersky Lab è la più grande azienda privata di sicurezza informatica ed è una delle aziende che opera in questo settore con il maggior tasso di crescita. Per ulteriori informazioni visitare: www.kaspersky.com/it.





Nessun commento:

Posta un commento