Cozy Bear è una Advanced Persistent Threat (APT) comunemente attribuita ai servizi di sicurezza russi. Le prime attività di questa minaccia sono state riscontrate già nel lontano 2008.
Conosciuta anche con i nomi The Dukes, APT 29, CozyCar e CozyDukes, recentemente questa APT è tornata sotto i riflettori per il presunto coinvolgimento in una intricata storia di cyber spionaggio e attacchi informatici condotti ai danni di laboratori di ricerca inglesi, americani e canadesi e finalizzati al furto di informazioni riservate sul vaccino contro il coronavirus.
Indice degli argomenti
Cozy Bear e Covid-19: la Russia vuole rubare il vaccino
La denuncia arriva da un joint report del NCSC inglese realizzato assieme alle americane NSA e CISA.
Nonostante queste difficoltà, l’attribuzione degli attacchi a Cozy Bear (e quindi alla matrice russa) è certa, a detta delle suddette agenzie. Questa posizione è corroborata anche dalla posizione in merito di diversi esperti non governativi in APT, quali gli analisti di FireEye e Crowdstrike.
Personalmente, in attesa di informazioni molto più dettagliate, non scarto l’opzione che l’attribuzione a Cozy Bear sia una false flag, anche se trovo questa possibilità molto remota.
Il report evidenzia come le vulnerabilità principalmente exploitate dal gruppo hacker russo per ottenere un accesso iniziale ai sistemi target siano le seguenti:
Sembra dunque evidente che il trend degli ultimi anni, comune a quasi tutte le APT, di attaccare le VPN non faccia che aumentare.
Il report presenta inoltre gli IOCs (Indicators of Compromise) più comuni per quest’ultima ondata di attività di Cozy Bear: ne consiglio quindi vivamente la lettura agli interessati.
Le origini dell’APT Cozy Bear
I gruppi hacker come Cozy Bear (APT 29), Fancy Bear (APT 28) e Turla Group, facilmente riconducibili al Cremlino, non sono nuovi ad azioni criminali di questo tipo.
Intanto, l’analisi di tecniche, tattiche, e procedure (TTPs) nel modus operandi di queste APT ha permesso di identificarne l’origine Russa. I servizi di intelligence di mezzo mondo, l’accademia, e gran parte dei fornitori di prodotti di information security concordano con questa attribuzione.
Infatti, il grosso delle attività di queste APT è svolto durante le ore d’ufficio russe, seguendo anche l’andamento delle festività nazionali.
Un esempio di questo lo possiamo vedere nell’immagine sottostante: nel grafico sono mostrati gli orari di attività, con picchi nelle ore di ufficio in UTC+2 e UTC+3. [FireEye]
Fonte: FireEye.
Inoltre, spesso si trovano nel codice riferimenti, nomi, e commenti nella lingua di Dostoevskij.
Le attività cyber russe e dell’APT Cozy Bear
La cyber intelligence russa attuale è figlia della SIGINT del KGB. In seguito alla dissoluzione dell’Unione Sovietica quelle funzioni di SIGINT sono state suddivise in almeno tre agenzie russe:
- FSB. Il FSB può essere considerato come il diretto discendente del KGB. Si occupa di counter-intelligence e di garantire l’information security domestica. Ha potenzialmente il controllo totale del traffico internet nazionale grazie al SORM, un sistema di controllo e filtraggio unificato sotto cui operano tutti gli ISP nazionali sotto l’autorità del Roskomnadzor e del Direttorato K del ministero dell’interno.
- FSO. Svolge funzioni chiave in ambito cyber. Ad esempio, sono responsabili di garantire la criptatura delle comunicazioni militari (eg: tra Cremlino ed i vari distretti militari). La Spetssvyaz opera da pochi anni all’interno del FSO e si occupa di garantire, tra le altre cose, anche della sicurezza delle comunicazioni governative non militari. La Spetssvyaz è uno dei player principali nell’espansione e nel miglioramento dell’expertise cyber Russo.
- SVR. Anche se il SVR si occupa principalmente di intelligence al di fuori della Russia e di HUMINT, detiene comunque una certa capacità di intervento cyber e spesso collabora con le altre due agenzie.
Esiste anche il GRU ad occuparsi di cyber, ed è probabilmente l’agenzia con le maggiori capacità di SIGINT, ELINT e crittografiche. Quest’ultimo non è inserito nella lista precedente in quanto non ritenuto un diretto discendente del KGB e non collegato direttamente all’APT 29 di cui discutiamo in questo articolo.
Si ritiene che Cozy Bear operi nel nexus di FSB e SRV.
Altri bersagli tipici di questa APT sono organizzazioni istituzionali e private, operanti nel campo della ricerca militare, energetica, farmaceutica e medica. Sono inoltre registrati diversi casi di interesse da parte del gruppo Cozy Bear per grossi studi legali e compagnie assicurative.
Tecniche, tattiche e procedure di Cozy Bear
Un’APT in attività per un così lungo periodo ha ovviamente diversi tool a propria disposizione e molti di questi si sono evoluti nel corso degli anni.
È dunque utile presentare le TTP (tecniche, tattiche, procedure) più recentemente attribuite a Cozy Bear in modo da meglio comprendere il modus operandi di questo gruppo di hacker russi.
In particolare, analizzeremo le TTP osservate da ESET nell’operazione di Cozy Bear da loro denominata “Operation Ghost”. Va sottolineato preliminarmente che anche rispetto al resto del mondo APT, l’attività di Cozy Bear è particolarmente persistente. Una volta acquisite credenziali e accessi, gli aggressori possono muoversi lateralmente anche per anni raccogliendo informazioni e cementando la loro intrusione, muovendosi al di sotto dei radar.
Ecco, dunque, le TTP vere e proprie identificate nell’analisi della “Operation Ghost”.
Il vettore primario
Il vettore primario di attacco è ancora incerto. Le ipotesi attuali principali sono due:
- il primo vettore ipotizzato è l’utilizzo di spear phishing contenente link a malware (quindi phishing mirato al drive-by download);
- il secondo vettore ipotizzato è l’acquisizione di credenziali e il movimento laterale verso sistemi di interesse.
Fase 1: il downloader
Un downloader viene installato sulla macchina vittima. Lo scopo del downloader è quello, come il nome suggerisce, di scaricare una backdoor.
Esistono due diversi downloader utilizzati da Cozy Bear: PolyglotDuke e RegDuke.
Il primo utilizza siti pubblici e molto noti come Twitter e Reddit per recuperare la URL del server C2 (command and control), utilizza poi la steganografia per la comunicazione con il server stesso.
Il secondo utilizza Dropbox come C2 server: il payload principale è presente su disco e criptato, la chiave crittografica è salvata in un registro di Windows.
Fase 2: la backdoor light
La prima backdoor che viene installata è denominata MiniDuke.
Le funzionalità di questa backdoor, sempre scritta in assembly x86, sono rimaste invariate nel corso degli anni.
La sua dimensione è invece cresciuta notevolmente, probabilmente a causa delle tecnologie di offuscamento utilizzate. Di particolare interesse è l’offuscamento attraverso il control-flow flattening, analizzabile nell’immagine sottostante:
- caricare/scaricare file;
- creare processi;
- ottenere informazioni di sistema (hostname, ID, pipename, HTTP method);
- ottenere una lista dei drive locali e rispettivi tipi (unk, nrt, rmv, fix, net, cdr, ram, und);
- read/write di pipe denominate
Fase 3: la backdoor avanzata
Nel caso in cui una macchina sia ritenuta particolarmente appetibile dai gruppi dietro a Cozy Bear, viene installata una backdoor più avanzata della molto basica MiniDuke. Questa backdoor è chiamata FatDuke.
FatDuke è persistente, viene eseguita ad ogni login utente. La persistenza avviene attraverso l’uso – generalmente – della chiave di registro HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.
FatDuke è altamente offuscato. Tre sono principalmente le tecniche utilizzate per offuscare questa backdoor:
- viene utilizzato lo string stacking per tutte le stringhe più importanti;
- vengono utilizzati diversi opaque predicates. (espressioni sempre vere o sempre false inserite nel codice solo per renderlo meno leggibile – NDA);
- vengono aggiunte funzioni e variabili inutili / non facenti parte della semantica del programma. (funzioni magari eseguite, ma senza un scopo preciso, se non rendere più difficile comprendere l’esecuzione del codice – NDA)
