L’attacco con CCleaner puntava ai giganti dell’informatica. Spionaggio industriale?


Nuovi elementi emergono dalle indagini dei ricercatori. Nel mirino Microsoft, Cisco, Samsung, Sony e altre note aziende del settore.

Dietro l’attacco che ha sfruttato CCleaner come vettore di attacco ci potrebbe essere un gruppo di hacker di alto livello o che, per lo meno, puntavano decisamente in alto. L’obiettivo, infatti, erano alcune tra le più famose aziende del settore IT.

A rivelarlo sono i ricercatori del gruppo Talos di Cisco, che sono riusciti a mettere le mani su alcuni file conservati all’interno dei server Command and Control (C&C) a cui si collega il malware.

Come abbiamo riportato in un articolo precedente, l’attacco è stato progettato per utilizzare una strategia in due fasi. La backdoor inserita dai pirati nella versione di CCleaner distribuita tra agosto e settembre ha infatti un’unica funzione: contattare un server C&C dal quale scaricare del codice.

Sarebbe questo il vero e proprio payload, cioè il codice dannoso che i pirati puntano a installare sui computer compromessi. Nella prima analisi dei ricercatori, però, non si era trovato alcun indizio che la seconda fase fosse stata avviata.

Insomma: il quadro in un primo momento sembrava essere quello di una clamorosa violazione dei sistemi di Piriform che aveva portato a una distribuzione di massa della backdoor. L’ipotesi, però, era che si trattasse di un gruppo di “classici” cyber-criminali che puntavano a colpire il maggior numero possibile di computer sparando nel mucchio.

Le nuove scoperte gettano una luce completamente diversa sulla vicenda. Sui server C&C, infatti, i ricercatori hanno trovato una serie di file tra i quali c’è anche il famoso payload che fino a questo momento non era stato identificato.

Non solo: quello che il gruppo Talos ha scoperto è che il payload veniva distribuito solo su un ristrettissimo numero di computer che venivano selezionati in base al dominio a cui apparteneva la rete a cui erano collegati. Si tratterebbe quindi di un attacco mirato e non di una “pesca a strascico” come era sembrato in un primo momento.

Gli obiettivi, in particolare, sarebbero alcune aziende che operano nel mondo dell’informatica: Microsoft, Samsung, VMware, MSI, Sony, D-Link (come se non avesse già abbastanza problemi) e la stessa Cisco, cioè l’azienda a cui fa riferimento il gruppo Talos.

CCleaner spionaggio

L’elenco dei bersagli contiene il fior fiore dell’industria informatica mondiale. L’ipotesi più probabile, quindi, è che si tratti di un tentativo di spionaggio industriale.

Non solo: analizzando i dati presenti sui server C&C, gli analisti di Talos hanno trovato indizi del fatto che la seconda fase dell’attacco sia stata in realtà avviata nei confronti di una ventina di computer.

L’analisi del trojan, del quale i ricercatori non elencano le funzionalità, denota l’uso di tecniche sofisticate di offuscamento che fanno pensare in ogni caso all’opera di un gruppo di pirati particolarmente capaci.

Il codice dannoso, infatti, viene inserito in un file che fa parte di un software di sicurezza Symantec e usa una serie di accorgimenti che lo rendono difficile da individuare.

Quello che in un primo momento ha stupito di più, a fronte dell’uso di strumenti così sofisticati, è la strategia utilizzata e la scelta di CCleaner come vettore di attacco.

Per quanto sia un software apprezzato e molto diffuso (il sito vanta 2 miliardi di download) è pur sempre un tool gratuito che di solito viene usato da utenti comuni e che viene da pensare si trovi difficilmente in ambito aziendale.

La spiegazione è tutto sommato semplice: CCleaner, infatti, oltre alla più nota versione gratuita ha anche una versione professionale (basata su cloud) pensata proprio per il mondo delle aziende. Guarda caso, il primo report di Talos specifica che i pirati hanno inserito la backdoor anche in questa versione.

CCleaner spionaggio

La versione cloud di CCleaner è pensata specificatamente per le aziende. Tra le società che la usano compare anche Samsung, una di quelle prese di mira dai pirati.

L’inserimento della backdoor all’interno della versione gratuita, quindi, potrebbe essere stato usato come specchietto per le allodole per mascherare le reali intenzioni dei pirati.

Difficile, infine, azzardare ipotesi riguardo gli autori dell’attacco. Gli unici elementi riportati da Talos (ma nel report si specifica che sono insufficienti per parlare di una possibile attribuzione) puntano il dito verso la Cina.

In particolare viene fatto notare che il malware utilizza il fuso orario cinese per determinare alcune operazioni e che gli analisti di Kaspersky avrebbero individuato alcune analogie tra il codice usato nell’attacco con quello usato in passato dal Group 72, che in passato qualcuno aveva ipotizzato essere collegato in qualche modo alla Cina. Troppo poco, però, per trarre qualche conclusione.



Articoli correlati

Altro in questa categoria


Da Windows a Edge: Microsoft nega i problemi di sicurezza


Una falla nel kernel di Windows ostacola gli antivirus. E in Edge c’è un bug che l’azienda di Satya Nadella non vuole correggere.   

Le accuse nei confronti di Microsoft in tema sicurezza sono spesso ingenerose, ma questa settimana sembra proprio che dalle parti di Redmond abbiano tutte le intenzioni di offrire materiale per portare acqua al mulino dei detrattori di Windows.

Partiamo da Edge, che come riportano i ricercatori di Talos, soffrirebbe (insieme ai concorrenti Chrome e Safari) di un bug che indebolirebbe le Content Security Policy.

Il punto, però, è che mentre dalle parti di Apple e Google hanno deciso di correre immediatamente ai ripari, Microsoft ha opposto un netto rifiuto sostenendo che il bug sia, in realtà, una funzione del browser.

Nel dettaglio stiamo parlando di una vulnerabilità che riguarda la possibilità di aggirare la Content Security Policy (CSP) cioè quella serie di regole che impediscono il caricamento di contenuti esterni (cross site) e che spesso vengono usati per portare attacchi utilizzando pagine Web confezionate ad hoc.

In teoria il sistema di protezione impedisce che il browser carichi risorse da un’origine diversa da quella da cui proviene la pagina che viene aperta. Il bug, però, permette di aprire una nuova pagina (Blank Page) che non è soggetta alle CSP.

I ricercatori di Talos chiariscono che il bug non consentirebbe di avviare l’esecuzione di codice in remoto, ma potrebbe essere sfruttato per esfiltrare informazioni (per esempio le credenziali di accesso a un servizio) verso un server esterno.

Nulla di devastante, ma comunque dannoso. Considerato che Apple ha corretto la vulnerabilità in Safari (CVE-2017-2419) con l’aggiornamento del 27 marzo e Google quella in Chrome (CVE-2017-5033) addirittura il 9 marzo, il fatto che dalle parti di Talos si siano ridotti a rendere pubblica la vulnerabilità di fornite al rifiuto di Microsoft di patchare il bug, dà da pensare.

Microsoft sicurezza

I bug non sono gravissimi, ma il rifiuto di correggerli non contribuisce di certo a migliorare la reputazione dei sistemi Microsoft .

i diversa natura il bug individuato dai ricercatori di enSilo, che affligge il Kernel del sistema operativo Microsoft (da Windows 2000 a Windows 10) e permetterebbe agli autori di malware di aggirare i controlli dei software di sicurezza.

Il problema riguarda un componente chiamato PsSetLoadImageNotifyRoutine, che dovrebbe consentire di identificare codice caricato nel Kernel. Il bug, però, permette di fare in modo che un eventuale processo dannoso sia classificato come legittimo.

C’è da dire che non tutti i software antivirus sfruttano questa funzione di Windows, ma la presenza del bug è certamente qualcosa che rende meno sicuro il sistema.

Purtroppo Microsoft, contattata all’inizio dell’anno da Omri Misgav (il ricercatore che ha individuato la falla) sostiene che non si tratti di una falla di sicurezza. E così fanno due…



Articoli correlati

Altro in questa categoria


Spunta una vulnerabilità vecchia di 6 anni nei PDF viewer


La falla di sicurezza affligge quasi tutti i software in circolazione, con l’esclusione di OS X e Adobe. Ora la corsa all’aggiornamento.

La prima volta che è stata individuata era il 2011 e sembrava interessasse soltanto un componente di Evinence, un’app per la visualizzazione di documenti in formato PDF su piattaforma Linux.

Secondo il ricercatore Hanno Böck, però, la stessa falla interesserebbe la maggior parte dei visualizzatori oggi in circolazione, compresi quelli utilizzati nei browser.

Il bug permette di provocare un loop che esaurisce le risorse del processore e si trasforma in buona sostanza in uno strumento per portare un attacco DoS (Denial of Service) al browser.

Certo, non si tratta di una falla clamorosa e, in particolare, è piuttosto difficile che qualcuno possa trasformarla in un vero e proprio exploit. In ogni caso rimane un problema con cui è necessario fare i conti.

vulnerabilità PDF

Mandare in crash un browser usando un file PDF può essere usato come vettore di attacco? Al momento non sembra, ma non si sa mai…

Böck ha individuato il problema nel componente integrato in Chrome (PDFium) così come in quello utilizzato da Firefox, in questo caso nella libreria usata per visualizzare i file in formato PDF senza l’uso di plugin. Sia Google che Mozilla hanno comunque già reso disponibili gli update che risolvono il problema.

L’elenco delle vittime comprende (ovviamente) Microsoft Edge, per il quale però non sembra sia ancora pronto il fix. Immuni, invece, lo storico Acrobat Reader di Adobe e il software Apple integrato in OS X.

Difficile capire quanto il bug possa impattare sui tanti software per la visualizzazione e la gestione dei PDF in circolazione. Il ricercatore tedesco, in ogni caso, ha pubblicato su GitHub un file di test che permette agli sviluppatori di eseguire i test per verificare la “tenuta” delle app.



Articoli correlati

Altro in questa categoria


Vulnerabilità in Internet Explorer: in particolare versioni 8 e 9

Logo di Microsoft Internet Explorer

L’ Italian Microsoft Security News comunica, tramite un Secuirity Advisory, una vulnerabilità del noto browser Microsoft:

“Oggi rilasciamo il Security Advisory 2887505 relativo ad una vulnerabilità in Internet Explorer. È stato riportato solo un numero limitato di attacchi mirati diretti principalmente ad Internet Explorer 8 e 9. Questa vulnerabilità permette di eseguire codice da remoto se viene visitato un sito web con contenuto malevolo. Gli utenti che utilizzano versioni recenti di Windows e Internet Explorer beneficiano di ulteriori feature di sicurezza che aiutano a limitare l’exploitation di questa vulnerabilità.”

Fonte: http://blogs.technet.com/b/gerardo_digiacomo/