ESET ha scoperto che il gruppo di spie informatiche Turla sta utilizzando un nuovo strumento pensato per ingannare le vittime, nel tentativo di installare un malware.
Il tool è stato usato nelle ultime campagne, indirizzate alle ambasciate e ai consolati negli stati dell’ex unione sovietica.
Da sempre queste spie digitali utilizzano l’ingegneria sociale per ingannare gli utenti e condurli all’esecuzione di falsi programmi di installazione di programmi noti come ad esempio Adobe Flash Player.
Pur conservando nel tempo lo stesso modus operandi, il gruppo ha escogitato nuovi mezzi per raggiungere i propri scopi, proprio come dimostra l’ultima ricerca ESET.
Attualmente i criminali stanno distribuendo una backdoor presentandola come un legittimo programma di installazione di Flash Player, ma in quest’occasione hanno aggiunto URL e indirizzi IP che sembrano realmente appartenere ad Adobe, inducendo le vittime a credere di scaricare il software direttamente dal sito adobe.com.
Le campagne che hanno sfruttato questo nuovo strumento sono iniziate già dal luglio del 2016 e presentano numerosi segni distintivi riconducibili al gruppo tra cui Mosquito, una backdoor ideata dallo stesso gruppo di spie, e l’uso di indirizzi IP precedentemente collegati al gruppo.
Vettori di attacco
I ricercatori di ESET hanno diverse ipotesi sulle modalità con cui viene diffuso il malware legato a Turla. Certamente si può escludere a priori un coinvolgimento di Adobe. Non è noto come il malware di Turla abbia alterato gli aggiornamenti legittimi di Flash Player, né se sfrutti delle vulnerabilità di prodotti Adobe noti. È stata scartata anche la possibilità che il sito per il download di Adobe Flash Player sia stato compromesso.
I possibili vettori di attacco che i ricercatori ESET hanno considerato sono:
• Una macchina all’interno della rete aziendale della vittima potrebbe essere compromessa in modo da poter essere sfruttata in un attacco Man-in-the-Middle (MitM) locale. Tale eventualità permetterebbe il reindirizzamento immediato del traffico della macchina che si desidera attaccare a una macchina compromessa sulla rete locale.
• I criminali potrebbero compromettere il gateway di rete di un’azienda, che gli consentirebbe di intercettare tutto il traffico in entrata e in uscita tra l’intranet di questa organizzazione e Internet.
• L’intercettazione del traffico potrebbe anche verificarsi a livello di provider dei servizi Internet (ISP), una tattica che – come evidenziato dalla recente ricerca ESET nelle campagne di sorveglianza che utilizzano spyware FinFisher – non è impossibile.
• Le spie avrebbero potuto utilizzare anche un dirottamento BGP (Border Gateway Protocol) per reindirizzare il traffico a un server controllato da Turla, anche se questa tattica avrebbe probabilmente insospettito immediatamente i servizi di controllo Adobe o BGP.
Una volta scaricato e avviato il falso programma di installazione di Flash, viene automaticamente installata una delle backdoor del gruppo. Molto spesso si tratta di Mosquito, un file JavaScript dannoso che comunica con un’app Web ospitata su Google Apps Script.
ESET Italia consiglia soprattutto agli utenti aziendali la massima attenzione nella verifica del proprio traffico di rete ed un controllo periodico sui sistemi con una soluzione di sicurezza affidabile e che sfrutti avanzati algoritmi per l’identificazione euristica dei malware.