CYBER SPIONAGGIO

Cozy Bear, l’APT russo che vuole rubare il vaccino contro il coronavirus: tutto quello che c’è da sapere

Secondo un rapporto congiunto delle agenzie governative di sicurezza inglesi e americane, il famigerato gruppo di hacker russi noto come Cozy Bear starebbe cercando di rubare informazioni sul vaccino contro il coronavirus. Ecco tutti i dettagli di questa intricata storia di cyber spionaggio

23 Lug 2020
F
Francesco Ferazza

CISSP, Consulente IT


Cozy Bear è una Advanced Persistent Threat (APT) comunemente attribuita ai servizi di sicurezza russi. Le prime attività di questa minaccia sono state riscontrate già nel lontano 2008.

Conosciuta anche con i nomi The Dukes, APT 29, CozyCar e CozyDukes, recentemente questa APT è tornata sotto i riflettori per il presunto coinvolgimento in una intricata storia di cyber spionaggio e attacchi informatici condotti ai danni di laboratori di ricerca inglesi, americani e canadesi e finalizzati al furto di informazioni riservate sul vaccino contro il coronavirus.

Cozy Bear e Covid-19: la Russia vuole rubare il vaccino

La denuncia arriva da un joint report del NCSC inglese realizzato assieme alle americane NSA e CISA.

Secondo il report, questa nuova attività di Cozy Bear utilizzerebbe tecniche, tattiche e procedure (TTPs) nuove rispetto a quelle storicamente note e già utilizzate dall’APT. Questo rende l’attribuzione degli attacchi più complessa, in quanto cambiano l’impronta ed il modus operandi.

Nonostante queste difficoltà, l’attribuzione degli attacchi a Cozy Bear (e quindi alla matrice russa) è certa, a detta delle suddette agenzie. Questa posizione è corroborata anche dalla posizione in merito di diversi esperti non governativi in APT, quali gli analisti di FireEye e Crowdstrike.

Personalmente, in attesa di informazioni molto più dettagliate, non scarto l’opzione che l’attribuzione a Cozy Bear sia una false flag, anche se trovo questa possibilità molto remota.

Il report evidenzia come le vulnerabilità principalmente exploitate dal gruppo hacker russo per ottenere un accesso iniziale ai sistemi target siano le seguenti:

Sembra dunque evidente che il trend degli ultimi anni, comune a quasi tutte le APT, di attaccare le VPN non faccia che aumentare.

Il report presenta inoltre gli IOCs (Indicators of Compromise) più comuni per quest’ultima ondata di attività di Cozy Bear: ne consiglio quindi vivamente la lettura agli interessati.

Le origini dell’APT Cozy Bear

I gruppi hacker come Cozy Bear (APT 29), Fancy Bear (APT 28) e Turla Group, facilmente riconducibili al Cremlino, non sono nuovi ad azioni criminali di questo tipo.

Intanto, l’analisi di tecniche, tattiche, e procedure (TTPs) nel modus operandi di queste APT ha permesso di identificarne l’origine Russa. I servizi di intelligence di mezzo mondo, l’accademia, e gran parte dei fornitori di prodotti di information security concordano con questa attribuzione.

Infatti, il grosso delle attività di queste APT è svolto durante le ore d’ufficio russe, seguendo anche l’andamento delle festività nazionali.

Un esempio di questo lo possiamo vedere nell’immagine sottostante: nel grafico sono mostrati gli orari di attività, con picchi nelle ore di ufficio in UTC+2 e UTC+3. [FireEye]

Fonte: FireEye.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

Inoltre, spesso si trovano nel codice riferimenti, nomi, e commenti nella lingua di Dostoevskij.

Le attività cyber russe e dell’APT Cozy Bear

La cyber intelligence russa attuale è figlia della SIGINT del KGB. In seguito alla dissoluzione dell’Unione Sovietica quelle funzioni di SIGINT sono state suddivise in almeno tre agenzie russe:

  1. FSB. Il FSB può essere considerato come il diretto discendente del KGB. Si occupa di counter-intelligence e di garantire l’information security domestica. Ha potenzialmente il controllo totale del traffico internet nazionale grazie al SORM, un sistema di controllo e filtraggio unificato sotto cui operano tutti gli ISP nazionali sotto l’autorità del Roskomnadzor e del Direttorato K del ministero dell’interno.
  2. FSO. Svolge funzioni chiave in ambito cyber. Ad esempio, sono responsabili di garantire la criptatura delle comunicazioni militari (eg: tra Cremlino ed i vari distretti militari). La Spetssvyaz opera da pochi anni all’interno del FSO e si occupa di garantire, tra le altre cose, anche della sicurezza delle comunicazioni governative non militari. La Spetssvyaz è uno dei player principali nell’espansione e nel miglioramento dell’expertise cyber Russo.
  3. SVR. Anche se il SVR si occupa principalmente di intelligence al di fuori della Russia e di HUMINT, detiene comunque una certa capacità di intervento cyber e spesso collabora con le altre due agenzie.

Esiste anche il GRU ad occuparsi di cyber, ed è probabilmente l’agenzia con le maggiori capacità di SIGINT, ELINT e crittografiche. Quest’ultimo non è inserito nella lista precedente in quanto non ritenuto un diretto discendente del KGB e non collegato direttamente all’APT 29 di cui discutiamo in questo articolo.

Si ritiene che Cozy Bear operi nel nexus di FSB e SRV.

Storicamente, dal 2008 ad oggi, Cozy Bear ha avuto obiettivi molto diversificati, riuscendo a penetrare anche bersagli di alto livello come i network “unclassified” della Casa Bianca, dello State Department e dello US Joint Chiefs of Staff o il National Democratic Committee nel runup elettorale del 2016. Quest’ultima attività di Cozy Bear è stata il fulcro del Joint Report di DHS e FBI del 2017 denominato “Grizzly Steppe”.

Altri bersagli tipici di questa APT sono organizzazioni istituzionali e private, operanti nel campo della ricerca militare, energetica, farmaceutica e medica. Sono inoltre registrati diversi casi di interesse da parte del gruppo Cozy Bear per grossi studi legali e compagnie assicurative.

Tecniche, tattiche e procedure di Cozy Bear

Un’APT in attività per un così lungo periodo ha ovviamente diversi tool a propria disposizione e molti di questi si sono evoluti nel corso degli anni.

È dunque utile presentare le TTP (tecniche, tattiche, procedure) più recentemente attribuite a Cozy Bear in modo da meglio comprendere il modus operandi di questo gruppo di hacker russi.

In particolare, analizzeremo le TTP osservate da ESET nell’operazione di Cozy Bear da loro denominata “Operation Ghost”. Va sottolineato preliminarmente che anche rispetto al resto del mondo APT, l’attività di Cozy Bear è particolarmente persistente. Una volta acquisite credenziali e accessi, gli aggressori possono muoversi lateralmente anche per anni raccogliendo informazioni e cementando la loro intrusione, muovendosi al di sotto dei radar.

Ecco, dunque, le TTP vere e proprie identificate nell’analisi della “Operation Ghost”.

Il vettore primario

Il vettore primario di attacco è ancora incerto. Le ipotesi attuali principali sono due:

  1. il primo vettore ipotizzato è l’utilizzo di spear phishing contenente link a malware (quindi phishing mirato al drive-by download);
  2. il secondo vettore ipotizzato è l’acquisizione di credenziali e il movimento laterale verso sistemi di interesse.

Fase 1: il downloader

Un downloader viene installato sulla macchina vittima. Lo scopo del downloader è quello, come il nome suggerisce, di scaricare una backdoor.

Esistono due diversi downloader utilizzati da Cozy Bear: PolyglotDuke e RegDuke.

Il primo utilizza siti pubblici e molto noti come Twitter e Reddit per recuperare la URL del server C2 (command and control), utilizza poi la steganografia per la comunicazione con il server stesso.

Il secondo utilizza Dropbox come C2 server: il payload principale è presente su disco e criptato, la chiave crittografica è salvata in un registro di Windows.

Fase 2: la backdoor light

La prima backdoor che viene installata è denominata MiniDuke.

Le funzionalità di questa backdoor, sempre scritta in assembly x86, sono rimaste invariate nel corso degli anni.

La sua dimensione è invece cresciuta notevolmente, probabilmente a causa delle tecnologie di offuscamento utilizzate. Di particolare interesse è l’offuscamento attraverso il control-flow flattening, analizzabile nell’immagine sottostante:

La backdoor installata ha a disposizione circa 38 funzioni/comandi. I più rilevanti sono:

  • caricare/scaricare file;
  • creare processi;
  • ottenere informazioni di sistema (hostname, ID, pipename, HTTP method);
  • ottenere una lista dei drive locali e rispettivi tipi (unk, nrt, rmv, fix, net, cdr, ram, und);
  • read/write di pipe denominate

Fase 3: la backdoor avanzata

Nel caso in cui una macchina sia ritenuta particolarmente appetibile dai gruppi dietro a Cozy Bear, viene installata una backdoor più avanzata della molto basica MiniDuke. Questa backdoor è chiamata FatDuke.

FatDuke è persistente, viene eseguita ad ogni login utente. La persistenza avviene attraverso l’uso – generalmente – della chiave di registro HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.

FatDuke è altamente offuscato. Tre sono principalmente le tecniche utilizzate per offuscare questa backdoor:

  • viene utilizzato lo string stacking per tutte le stringhe più importanti;
  • vengono utilizzati diversi opaque predicates. (espressioni sempre vere o sempre false inserite nel codice solo per renderlo meno leggibile – NDA);
  • vengono aggiunte funzioni e variabili inutili / non facenti parte della semantica del programma. (funzioni magari eseguite, ma senza un scopo preciso, se non rendere più difficile comprendere l’esecuzione del codice – NDA)

FatDuke comunica con il server C2 attraverso semplici richieste GET. Le risposte del server C2 a queste richieste sono in genere pagine HTML contenenti immagini PNG corrotte contenenti a loro volta un JSON criptato con AES-256 ECB contenente le istruzioni dal C2 alla macchia infetta.

FatDuke può effettuare diverse azioni in più rispetto a MiniDuke.

FatDuke può effettuare pivoting e movimenti laterali molto avanzati utilizzando una funzione interna chiamata PivotingPipeTransport, per comunicare con il server C2 anche in assenza di una connessione internet esterna.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5