sabato 28 settembre 2019

ESET, backdoor elude software di sicurezza: sfrutta BITS di Windows


Il noto gruppo di cyber spionaggio Stealth Falcon ha adottato una nuova backdoor sfruttando il servizio di Trasferimento Intelligente in Background di Windows (BITS), utilizzato tipicamente per scaricare gli aggiornamenti di sistema, nei suoi attacchi spyware in corso contro giornalisti, attivisti e dissidenti in Medio Oriente. Secondo i ricercatori di ESET, gli aggressori stanno sfruttando la funzione di "notifica" BITS in Microsoft Windows. La funzionalità consente agli aggressori di creare un'attività ricorrente per scaricare e installare malware, anche dopo l'estrazione del malware originale. La backdoor riesce a passare inosservata ai firewall e software di sicurezza.

Stealth Falcon è un sofisticato gruppo di hacking attivo dal 2012 le cui attività vengono costantemente controllate dal Citizen Lab, un'organizzazione no profit che si dedica alla sicurezza e ai diritti umani, che ha pubblicato un'analisi su un particolare attacco informatico nel 2016. Nel gennaio del 2019, Reuters ha divulgato un rapporto investigativo sul "Project Raven" e meccanismi interni, un'iniziativa che presumibilmente impiega ex agenti della National Security Agency (NSA) e indirizzata sugli stessi tipi di target di Stealth Falcon. Sulla base di questi due rapporti riferiti agli stessi obiettivi e attacchi, il Senior Technologist di Amnesty International Claudio Guarnieri ha concluso che Stealth Falcon e Project Raven sono effettivamente lo stesso gruppo.

Gli Emirati Arabi Uniti (EAU) hanno creato il Progetto Raven nel 2009 con l'aiuto di appaltatori dell'intelligence americana ed ex alti funzionari della Casa Bianca dell'amministrazione George W. Bush. Il Consiglio di sicurezza nazionale degli Stati Uniti ha rifiutato di commentare il progetto Raven. Inizialmente, l'obiettivo era reprimere il terrorismo aiutando gli Emirati Arabi Uniti a monitorare i militanti nella regione. Ma la missione di Raven si è rapidamente estesa includendo il monitoraggio e la soppressione di una serie di oppositori politici degli Emirati Arabi Uniti, mostrano i documenti. Tra i suoi obiettivi c'era il Qatar, che gli Emirati Arabi Uniti e l'Arabia Saudita avevano da tempo accusato di alimentare l'opposizione politica in tutta la regione.

Alcune informazioni tecniche su Stealth Falcon sono già state rese pubbliche, in particolare nella già citata analisi del Citizen Lab. Il componente chiave dell'attacco documentato nel rapporto di Citizen Lab era una backdoor basata su PowerShell (POSH), fornita tramite un documento armato incluso in un'e-mail dannosa. Ora, i ricercatori di ESET hanno trovato una backdoor binaria precedentemente non segnalata che hanno chiamato Win32/StealthFalcon. Nell'analisi, gli esperti di ESET svelano somiglianze tra questa backdoor binaria e lo script PowerShell con funzionalità di backdoor attribuite al gruppo Stealth Falcon. Tali affinità sono una prova evidente che Win32/StealthFalcon è stato creato da questo gruppo APT (Advanced Persistent Threat).

La backdoor Win32/StealthFalcon, che sembra essere stata creata nel 2015, consente all'attaccante di controllare da remoto il computer infetto. I ricercatori di ESET hanno visto un numero limitato di obiettivi negli Emirati Arabi Uniti, in Arabia Saudita, in Thailandia e nei Paesi Bassi; in quest'ultimo caso, l'obiettivo era una missione diplomatica di un paese del Medio Oriente. Il modo in cui la backdoor è stata distribuita ed eseguita sui sistemi target va oltre lo scopo dell'indagine; l'analisi degli esperti di cyber security si concentra sulle sue capacità e sulla sua comunicazione di C&C (Command and Control). Questa backdoor per comunicare con il server C&C utilizza una tecnica piuttosto insolita, ovvero il Background Intelligent Transfer Service (BITS) di Windows.


Questo componente è stato progettato per trasferire grandi quantità di dati limitando l'impatto sulla banda di rete, in modo da non influire sul trasferimento dati di altre applicazioni. Per questa sua particolare caratteristica, il protocollo BITS è comunemente usato per effettuare aggiornamenti di software e di altre applicazioni - come Messenger - progettate per operare in background. Questo significa che è più probabile che le attività del BITS non vengano filtrate da eventuali firewall o software di sicurezza. Inoltre, rispetto al sistema di comunicazione tradizionale tramite funzioni API (Application Programming Interface), il meccanismo BITS opera attraverso un'interfaccia COM ed è quindi notevolmente più difficile da rilevare per un prodotto di sicurezza.

Sfruttando queste caratteristiche, Stealth Falcon riesce ad operare in background in modo furtivo, passando inosservato ad eventuali controlli di sicurezza. Il trasferimento riprende automaticamente dopo essere stato interrotto per motivi quali un'interruzione della rete, la disconnessione dell'utente o un riavvio del sistema. Inoltre, poiché BITS regola la velocità con cui i file vengono trasferiti in base alla larghezza di banda disponibile, l'utente non ha motivo di sospettare. Win32/StealthFalcon, spiega il Technical Support Specialist di ESET Italia, può cambiare la comunicazione tra due server C&C i cui indirizzi sono memorizzati in una chiave di registro, insieme ad altri valori di configurazione, e può essere aggiornato da uno dei comandi backdoor. 

Nel caso in cui la backdoor non riesca a raggiungere i suoi server C&C, la backdoor si rimuove dal sistema compromesso dopo un numero preconfigurato di tentativi falliti. Win32/StealthFalcon è un file DLL che, dopo l'esecuzione, si pianifica come un'attività in esecuzione su ogni accesso utente. Supporta solo i comandi di base ma mostra un approccio sistematico alla raccolta, all'esfiltrazione dei dati, all'impiego di ulteriori strumenti dannosi e all'aggiornamento della sua configurazione. Inoltre, Win32/StealthFalcon raccoglie i file e li prepara per l'esfiltrazione memorizzando una copia crittografata con un prefisso hardcoded in una cartella temporanea.  Quindi controlla periodicamente la presenza di tali file e li espelle automaticamente.

Il servizio BITS ha una lunga storia di abusi da parte di malintenzionati risalente al 2006. E fino ad oggi, BITS è ancora una caratteristica interessante per gli hacker poichè il componente Windows include la possibilità di recuperare o caricare file utilizzando un'applicazione ritenuta attendibile dai firewall host. Nel 2016, SecureWorks riferì che la funzionalità BITS era stata violata da un cyber criminale che la utilizzò per infettare obiettivi con il malware DNSChanger, chiamato Zlob.Q. Queste attività BITS non autorizzate scaricano codice dannoso sul sistema e quindi lo eseguono, eventualmente eliminando se stesso. Poiché BITS è un servizio affidabile, l'antivirus non le contrassegna come dannose ma potrebbe emettere avvisi di attività irregolari.

Da 30 anni ESET® sviluppa software e servizi di sicurezza IT leader del settore per aziende e consumatori in tutto il mondo. Con soluzioni che vanno dall'endpoint e la sicurezza mobile alla crittografia e all'autenticazione a due fattori, i prodotti ESET ad alte prestazioni e di facile utilizzo offrono ai consumatori e alle aziende la tranquillità di sfruttare appieno il potenziale della loro tecnologia. ESET protegge e monitora in modo discreto 24 ore su 24, 7 giorni su 7, aggiornando le difese in tempo reale per mantenere gli utenti al sicuro e le aziende in esecuzione senza interruzioni. Le minacce sempre in evoluzione richiedono un'azienda di sicurezza IT in costante evoluzione. Per ulteriori informazioni su ESET, visitare: https://www.eset.com/it/ Via: Ketchum


Nessun commento:

Posta un commento