Secondo il Global Research and Analysis Team (GReAT) di Kaspersky Lab, i più sofisticati criminali informatici stanno attaccando in modo attivo altri gruppi criminali allo scopo di sottrarre i dati delle vittime, prendere in prestito strumenti e tecniche e sfruttare le loro infrastrutture – rendendo meno precisa l’indagine dei ricercatori di sicurezza che utilizzano la threat intelligence.
L’accuratezza della threat intelligence si basa sull’identificazione di modelli e strumenti che determinano un particolare gruppo criminale. Tale conoscenza consente ai ricercatori di mappare meglio obiettivi, vittime e comportamenti dei criminali e aiuta le organizzazioni a determinare il proprio livello di rischio. Quando i criminali iniziano ad attaccarsi a vicenda e appropriarsi di strumenti, infrastrutture e persino a prendere di mira le vittime degli altri gruppi, questo modello tende a collassare rapidamente.
Secondo Kaspersky Lab questi attacchi vengono attuati, con molta probabilità, da gruppi criminali sostenuti da stati-nazione, che prendono di mira gruppi di altre nazionalità o meno abili. È importante che i ricercatori di sicurezza informatica imparino a riconoscere e interpretare i segni che distinguono questi attacchi, in modo da poter contestualizzare la threat intelligence in questo nuovo scenario.
Analizzando in modo più dettagliato questo tipo di attacchi, i ricercatori del GReAT team hanno identificato due approcci principali: passivo e attivo. Gli attacchi di tipo passivo implicano l’intercettazione dei dati di altri gruppi durante i trasferimenti, ad esempio, dalla vittima ai server di comando e controllo quando, in sostanza, sono quasi impossibili da intercettare. L’approccio attivo, invece, implica l’infiltrazione all’interno della infrastruttura nociva dell’altro gruppo criminale.
Utilizzando l’approccio attivo, il rischio di essere identificati è molto più alto ma allo stesso tempo offre molti più benefici in quanto permette ai criminali di estrapolare periodicamente delle informazioni, monitorare obiettivi e vittime e inserire eventualmente anche il proprio impianto o lanciare un attacco fingendosi la vittima.
Durante un’indagine su specifici gruppi criminali, il GReAT team ha rilevato un numero alquanto strano e inaspettato di indizi che suggerivano come questi attacchi di tipo attivo venissero già lanciati in-the-wild.
Esempi:
- Backdoor installate nell’infrastruttura di comando e controllo (C&C) di un’altra entità
Installare una backdoor all’interno di una rete attaccata consente ai criminali di inserirsi in modo persistente all’interno delle operazioni di un altro gruppo. I ricercatori di Kaspersky Lab hanno rilevato due esempi di queste backdoor.
Una di queste è stata rilevata nel 2013, analizzando un server utilizzato da NetTraveler, una campagna in lingua cinese per attivisti e organizzazioni in Asia. La seconda è stata trovata nel 2014, mentre i ricercatori stavano indagando su un sito web compromesso e utilizzato da Crouching Yeti (noto anche come Energetic Bear), un gruppo criminale in lingua russa che dal 2010 prendeva di mira il settore industriale. I ricercatori hanno notato che per un breve periodo, il panel che gestiva la rete del C&C è stato modificato con un tag che puntava a un IP remoto in Cina (probabilmente una false flag). I ricercatori ritengono che questa backdoor possa appartenere ad un altro gruppo, anche se non ci sono indizi che indichino di quale gruppo si tratti.
- Condividere siti web compromessi
Nel 2016, i ricercatori di Kaspersky Lab hanno scoperto che un sito web compromesso da DarkHotel, un gruppo criminale di lingua coreana, ospitava anche script per exploit di un altro gruppo chiamato ScarCruft, che prendeva di mira prevalentemente organizzazioni russe, cinesi e sud coreane. L’operazione DarkHotel risale ad aprile 2016, mentre gli attacchi ScarCruft sono stati implementati un mese più tardi, questo potrebbe voler dire che ScarCruft prima di lanciare i propri attacchi ha osservato quelli di DarkHotel.
- Targeting-by-proxy
Infiltrarsi in un gruppo che ha una presenza consolidata in una determinata regione o settore industriale, consente agli attaccanti di ridurre i costi e migliorare il targeting, beneficiando della competenza specialistica del gruppo vittima.
Alcuni gruppi criminali piuttosto che sottrarre le vittime preferiscono condividerle. Questo approccio è rischioso perché nel caso uno dei gruppi meno avanzati venisse catturato, l’analisi forense sarebbe in grado di identificare anche l’identità degli altri. A novembre 2014, Kaspersky Lab aveva scoperto che un server appartenente ad un istituto di ricerca del Medio Oriente, noto come Magnet of Threats, aveva ospitato contemporaneamente gli impianti di gruppi criminali quali Regin e Equation Group (in lingua inglese), Turla e ItaDuke (in lingua russa), così come Animal Farm (lingua francese) e Careto (in lingua spagnola). Infatti, questo server è stato il punto di partenza per la scoperta di Equation Group.
“Attribuire un attacco ad un gruppo criminale non è semplice in quanto gli indizi sono rari e facilmente manipolabili e se a questo si aggiunge anche il fatto che si “attaccano” a vicenda lo diventa ancora di più. Sfruttare strumenti, vittime e infrastrutture di altri gruppi, inserire i propri impianti o utilizzare l’identità della loro vittima per lanciare ulteriori attacchi, impedisce ai “threat hunter” di costruire un quadro chiaro e preciso della situazione. Alcuni indizi ci lasciano pensare che questi attacchi si stiano già verificando in-the-wild, e questo dovrebbe far riflettere i ricercatori di threat-intelligence sul fatto che sarà necessario adattare il proprio modo di investigare a questi nuovi metodi soprattutto quando si troveranno ad analizzare il lavoro di gruppi criminali avanzati”, ha dichiarato Juan Andres Guerrero-Saade, Principal Security Researcher, Global Research and Analysis Team, Kaspersky Lab.
Per stare al passo con la rapida evoluzione delle minacce moderne, Kaspersky Lab consiglia alle imprese di implementare una piattaforma di sicurezza su vasta scala combinata con servizi di threat intelligence di ultima generazione. Il portfolio di sicurezza endpoint di Kaspersky Lab offre alle aziende la prevenzione dalle minacce grazie all’innovativa suite di sicurezza per endpoint, il rilevamento basato sulla piattaforma Kaspersky Anti Targeted Attack e la detection & response degli incidenti attraverso i servizi di threat intelligence.
È possibile trovare ulteriori dettagli sulle modalità con cui i criminali informatici acquisiscono e riutilizzano elementi di altri gruppi, inclusi il ripristino degli strumenti e il clustering dei malware, e sulle conseguenze che questo ha per la threat intelligence, nel rapporto Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell