Kaspersky ha scoperto che il malware WinDealer esegue intrusioni attraverso un attacco man-on-the-side e mostra funzionalità di rete molto sofisticate. Il malware è diffuso da LouYu, il gruppo APT (Advanced Persistent Threat) di lingua cinese. Questo sviluppo innovativoconsente al gruppo di modificare il traffico di rete in transito per inserire payload dannosi. Tali attacchi sono particolarmente pericolosi e devastanti perché non richiedono alcuna interazione con l’obiettivo per portare a termine in modo efficace l’infezione.
Arriva il malware WinDealer
In seguito alle scoperte del TeamT5, Kaspersky ha individuato un nuovo modello di distribuzione applicato dagli operatori per diffondere il malware WinDealer. In particolare, hanno usato un attacco man-on-the-side per leggere il traffico e inserire nuovi messaggi. Un attacco man-on-the-side prevede che nel momento in cui l’attaccante rileva la richiesta di una risorsa specifica sulla rete (grazie alle sue capacità di intercettazione o alla posizione strategica sulla rete dell’ISP), cerca di rispondere alla vittima più velocemente del server legittimo.
Come si comporta il malware WinDealer
Se l’attaccante vince la “gara” il computer di destinazione utilizzerà i dati forniti dall’aggressore invece di quelli legittimi. Anche se gli attaccanti non vincono la maggior parte delle “gare”, possono riprovare finché non hanno successo. Riuscendo ad infettare la buona parte dei dispositivi. A seguito di un attacco, il dispositivo colpito riceve un’applicazione spyware in grado di raccogliere una quantità elevata di informazioni.
La diplomazia e gli attacchi di LouYu
Gli attaccanti sono in grado di visualizzare e scaricare qualsiasi file memorizzato sul dispositivo e di eseguire una ricerca per parole chiave su tutti i documenti. In generale, LouYu prende di mira le organizzazioni diplomatiche straniere con sede in Cina e i membri della comunità accademica. Nonché le aziende di difesa, logistica e telecomunicazioni. I criminali utilizzano WinDealer per attaccare i dispositivi Windows. In linea di massima, il malware contiene un server di comando e controllo hardcoded dal quale l’operatore malintenzionato controlla l’intero sistema.
Il server di comando e controllo
Grazie alle informazioni sul server, è possibile bloccare l’indirizzo IP delle macchine con cui il malware interagisce, neutralizzando la minaccia. Tuttavia WinDealer si basa su un complesso algoritmo di generazione di IP per determinare quale dispositivo contattare. Questo include una gamma di 48.000 indirizzi IP, rendendo quasi impossibile per l’operatore controllare anche solo una piccola parte degli indirizzi.
Un attacco altamente dannoso
L’attacco man-on-the-side è particolarmente devastante perché non richiede alcuna interazione con l’obiettivo per portare a termine l’infezione. Basta avere un dispositivo connesso a Internet. Inoltre, gli utenti per proteggersi possono solo indirizzare il traffico attraverso un’altra rete. Questo può essere fatto con una VPN, anche se si tratta di un’opzione non valida per tutti i territori. In ogni caso non sarebbe disponibile per i cittadini cinesi.
Attacco man-on-the-side, come colpisce il malware WinDealer
La stragrande maggioranza delle vittime di LouYu si trova in Cina. Pertanto gli esperti di Kaspersky ritengono che l’APT LouYu si concentri prevalentemente su vittime di lingua cinese e su organizzazioni legate alla Cina. Tuttavia, i ricercatori di Kaspersky hanno notato attacchi anche in altri Paesi, tra cui Germania, Austria, Stati Uniti, Repubblica Ceca, Russia e India.
Colpire la Cina e non solo
Suguru Ishimaru, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky “LouYu è un threat actor estremamente sofisticato. In grado di sfruttare funzionalità disponibili solo agli attaccanti più esperti. Possiamo solo ipotizzare come siano riusciti a sviluppare tali capacità. Gli attacchi man-on-the-side sono estremamente distruttivi. Poiché l’unica condizione necessaria per attaccare un dispositivo è che questo sia connesso a Internet. Anche se l’attacco fallisce la prima volta, gli aggressori possono ripetere il processo più volte fino a quando non avranno successo.
Le potenziali vittime del malware WinDealer
Gli attacchi possono avere come scopo lo spionaggio e sono estremamente pericolosi. Tra le vittime di questi attacchi in genere ci sono diplomatici, scienziati e dipendenti di altri settori chiave. L’unico modo per le potenziali vittime di difendersi è rimanere estremamente vigili e disporre di solide procedure di sicurezza. Come scansioni antivirus regolari, analisi del traffico di rete in uscita e logging estese per rilevare le anomalie”.
Come proteggersi
Per proteggersi da una minaccia così avanzata Kaspersky consiglia di:
Implementare procedure di sicurezza robuste che prevedono scansioni antivirus regolari, analisi del traffico di rete in uscita e logging estese per rilevare le anomalie.
Eseguire un audit di cybersecurity delle reti e porre rimedio a qualsiasi punto debole scoperto sul perimetro o all’interno della rete.
Installare soluzioni anti-APT e EDR che consentano la scoperta e il rilevamento delle minacce, l’indagine e la tempestiva riparazione degli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con una formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.
Oltre a un’adeguata protezione degli endpoint, alcuni servizi dedicati possono aiutare a contrastare gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e bloccare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.
Rimanere aggiornati sulle nuove minacce per mantenere un elevato livello di sicurezza dell’azienda. Threat Intelligence Resource Hub consente di accedere gratuitamente a informazioni indipendenti. Costantemente aggiornate e di livello globale sugli attacchi informatici e le minacce in corso.
