Secondo un documento presentato al Virus Bulletin dai ricercatori di Kaspersky Lab, Brian Bartholomew e Juan-Andres Guerrero-Sade, gli hacker che compiono attacchi mirati usano una gamma sempre più vasta di tecniche ingannevoli per confondere l’attribuzione, impiantando, tra le altre cose, timestamp ‘False Flags’, stringhe di linguaggi, malware, e operando sotto copertura a nome di gruppi inesistenti.
Ciò che tutti si chiedono è quale sia l’identità del gruppo dietro un targeted cyberattack, ma è molto difficile, se non impossibile, stabilire precisamente chi siano davvero gli autori. Per dimostrare la crescente complessità e l’incertezza dell’attribuzione nel panorama attuale di threat intelligence, due esperti di Kaspersky Lab hanno pubblicato un documento che rivela come i gruppi criminali avanzati utilizzino le cosiddette operazioni False Flags per trarre in inganno le vittime e i ricercatori della cyber-sicurezza.
Gli indicatori più usati dai ricercatori per indicare da dove provengono gli attacchi e illustrare come un numero di gruppi criminali conosciuti li abbia manipolati, includono:
•Timestamp
I file malware hanno un timestamp che indica quando sono stati creati. Se viene raccolto un numero abbastanza alto di sample collegati, è possibile determinare le ore di lavoro degli sviluppatori, e questo può dare un’idea del fuso orario delle loro operazioni. Tuttavia, i timestamp sono facilmente alterabili.
•Language marker
I file malware spesso includono stringe e percorsi debug che possono dare un’idea di chi siano gli autori del codice. L’indizio più ovvio è la lingua usata e il relativo livello di conoscenza. I percorsi debug possono anche rivelare il nome utente e le convenzioni di denominazione interne per progetti o campagne. Inoltre, i documenti di phishing potrebbero essere pieni di metadati che possono involontariamente salvare le informazioni di stato che indicano il computer di un autore.
Tuttavia, i gruppi criminali possono manipolare facilmente i language marker per confondere i ricercatori. Alcuni indizi di linguaggi ingannevoli lasciati nei malware dal gruppo criminale Cloud Atlas includevano stringhe in arabo nella versione per BlackBerry, caratteri in hindi nella versione per Android e le parole ‘JohnClerk’ nel percorso del progetto per iOS – anche se in molti sospettano che il gruppo abbia dei collegamenti con l’Est Europa. Il malware usato dal gruppo criminale Wild Neutron includeva stringhe di linguaggio sia in romeno che in russo.
•Collegamenti infrastrutturali e di back-end
Trovare il server di Command and Control (C&C) usato dagli hacker è come individuare il loro indirizzo di casa. Le infrastrutture C&C possono essere costose e difficili da mantenere, quindi anche gli hacker con più risorse hanno la tendenza a riutilizzare i server C&C o le infrastrutture di phishing. Le connessioni back-end consentono di svelare gli hacker, se questi non rendono adeguatamente anonime le connessioni internet quando recuperano i dati da server di esfiltrazione o email, preparano il server di staging o phishing o controllano un server hackerato.
A volte, tuttavia, questi errori sono intenzionali: il gruppo Cloud Atlas ha provato a confondere i ricercatori usando indirizzi IP della Corea del Sud.
•Toolkit: malware, codici, password, exploit
Nonostante alcuni gruppi criminali utilizzino tool disponibili pubblicamente, molti preferiscono creare backdoor, strumenti di lateral movement ed exploit personalizzati, proteggendoli gelosamente. La comparsa di una famiglia di malware specifica può perciò aiutare i ricercatori a individuare un gruppo criminale.
Il gruppo criminale Turla ha deciso di approfittarne quando si è trovato con le spalle al muro all’interno di un sistema danneggiato. Invece che ritirare il proprio malware, i cyber criminali hanno installato un raro pezzo di malware cinese che comunicava con infrastrutture collocate a Pechino, completamente estranee a Turla. Mentre il team di risposta agli incidenti delle vittime ha inseguito il malware ingannevole, il gruppo Turla ha tranquillamente disinstallato il proprio malware per poi cancellarne ogni traccia dai sistemi delle vittime.
•Le vittime
I bersagli degli hacker sono un altro possibile indizio rivelatorio, sebbene stabilire un collegamento accurato richieda un forte senso di interpretazione e analisi. Nel caso del gruppo Wild Neutron, ad esempio, la lista delle vittime era così varia da confondere l’attribuzione.
Inoltre, alcuni gruppi criminali abusano del desiderio di una connessione chiara tra l’hacker e la vittima, operando sotto copertura a nome di un gruppo di hacktivist, spesso inesistente. E’ ciò che ha provato a fare il Gruppo Lazarus spacciandosi per i “Guardiani della Pace” durante l’attacco a Sony Pictures Entertainment nel 2014. In molti ritengono che anche il gruppo criminale Sofacy abbia adottato una tattica simile, fingendosi diversi gruppi di hacktivist.
Infine, alcuni hacker tentano di far ricadere la colpa su un altro gruppo di criminali. Questo approccio è stato adottato dal gruppo TigerMilk, finora non identificato, che ha firmato le proprie backdoor con gli stessi certificati rubati, usati in precedenza da Stuxnet.
“L’attribuzione di attacchi mirati è complicata, inaffidabile e soggettiva – i gruppi criminali manipolano sempre di più gli indicatori su cui si basano i ricercatori, confondendo sempre di più le acque. L’attribuzione accurata è spesso quasi impossibile. Inoltre, la threat intelligence ha valori profondi e misurabili che vanno oltre il “chi è stato”. C’è un bisogno globale di capire chi siano gli hacker più forti nell’ecosistema dei malware e fornire un’intelligence efficace alle aziende – questo dovrebbe essere il nostro focus”, ha dichiarato Brian Batholomew, Senior Researcher di Kaspersky Lab.
Per saperne di più su come i False Flags sono usati per confondere le attribuzioni negli attacchi mirati, visitate Securelist.com.
Per maggiori informazioni sul servizio di report di Intelligence APT di Kaspersky Lab, visitate http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
