CYBER SPIONAGGIO

Cozy Bear, l’APT russo che vuole rubare il vaccino contro il coronavirus: tutto quello che c’è da sapere

Secondo un rapporto congiunto delle agenzie governative di sicurezza inglesi e americane, il famigerato gruppo di hacker russi noto come Cozy Bear starebbe cercando di rubare informazioni sul vaccino contro il coronavirus. Ecco tutti i dettagli di questa intricata storia di cyber spionaggio

23 Lug 2020
F
Francesco Ferazza

CISSP, Consulente IT

Cozy Bear è una Advanced Persistent Threat (APT) comunemente attribuita ai servizi di sicurezza russi. Le prime attività di questa minaccia sono state riscontrate già nel lontano 2008.

Conosciuta anche con i nomi The Dukes, APT 29, CozyCar e CozyDukes, recentemente questa APT è tornata sotto i riflettori per il presunto coinvolgimento in una intricata storia di cyber spionaggio e attacchi informatici condotti ai danni di laboratori di ricerca inglesi, americani e canadesi e finalizzati al furto di informazioni riservate sul vaccino contro il coronavirus.

Cozy Bear e Covid-19: la Russia vuole rubare il vaccino

La denuncia arriva da un joint report del NCSC inglese realizzato assieme alle americane NSA e CISA.

Secondo il report, questa nuova attività di Cozy Bear utilizzerebbe tecniche, tattiche e procedure (TTPs) nuove rispetto a quelle storicamente note e già utilizzate dall’APT. Questo rende l’attribuzione degli attacchi più complessa, in quanto cambiano l’impronta ed il modus operandi.

WHITEPAPER
Smart Grid: qual è l’impatto della generazione distribuita sulle reti intelligenti?
Networking
Utility/Energy

Nonostante queste difficoltà, l’attribuzione degli attacchi a Cozy Bear (e quindi alla matrice russa) è certa, a detta delle suddette agenzie. Questa posizione è corroborata anche dalla posizione in merito di diversi esperti non governativi in APT, quali gli analisti di FireEye e Crowdstrike.

Personalmente, in attesa di informazioni molto più dettagliate, non scarto l’opzione che l’attribuzione a Cozy Bear sia una false flag, anche se trovo questa possibilità molto remota.

Il report evidenzia come le vulnerabilità principalmente exploitate dal gruppo hacker russo per ottenere un accesso iniziale ai sistemi target siano le seguenti:

Sembra dunque evidente che il trend degli ultimi anni, comune a quasi tutte le APT, di attaccare le VPN non faccia che aumentare.

Il report presenta inoltre gli IOCs (Indicators of Compromise) più comuni per quest’ultima ondata di attività di Cozy Bear: ne consiglio quindi vivamente la lettura agli interessati.

Le origini dell’APT Cozy Bear

I gruppi hacker come Cozy Bear (APT 29), Fancy Bear (APT 28) e Turla Group, facilmente riconducibili al Cremlino, non sono nuovi ad azioni criminali di questo tipo.

Intanto, l’analisi di tecniche, tattiche, e procedure (TTPs) nel modus operandi di queste APT ha permesso di identificarne l’origine Russa. I servizi di intelligence di mezzo mondo, l’accademia, e gran parte dei fornitori di prodotti di information security concordano con questa attribuzione.

Infatti, il grosso delle attività di queste APT è svolto durante le ore d’ufficio russe, seguendo anche l’andamento delle festività nazionali.

Un esempio di questo lo possiamo vedere nell’immagine sottostante: nel grafico sono mostrati gli orari di attività, con picchi nelle ore di ufficio in UTC+2 e UTC+3. [FireEye]

Fonte: FireEye.

Inoltre, spesso si trovano nel codice riferimenti, nomi, e commenti nella lingua di Dostoevskij.

Le attività cyber russe e dell’APT Cozy Bear

La cyber intelligence russa attuale è figlia della SIGINT del KGB. In seguito alla dissoluzione dell’Unione Sovietica quelle funzioni di SIGINT sono state suddivise in almeno tre agenzie russe:

  1. FSB. Il FSB può essere considerato come il diretto discendente del KGB. Si occupa di counter-intelligence e di garantire l’information security domestica. Ha potenzialmente il controllo totale del traffico internet nazionale grazie al SORM, un sistema di controllo e filtraggio unificato sotto cui operano tutti gli ISP nazionali sotto l’autorità del Roskomnadzor e del Direttorato K del ministero dell’interno.
  2. FSO. Svolge funzioni chiave in ambito cyber. Ad esempio, sono responsabili di garantire la criptatura delle comunicazioni militari (eg: tra Cremlino ed i vari distretti militari). La Spetssvyaz opera da pochi anni all’interno del FSO e si occupa di garantire, tra le altre cose, anche della sicurezza delle comunicazioni governative non militari. La Spetssvyaz è uno dei player principali nell’espansione e nel miglioramento dell’expertise cyber Russo.
  3. SVR. Anche se il SVR si occupa principalmente di intelligence al di fuori della Russia e di HUMINT, detiene comunque una certa capacità di intervento cyber e spesso collabora con le altre due agenzie.

Esiste anche il GRU ad occuparsi di cyber, ed è probabilmente l’agenzia con le maggiori capacità di SIGINT, ELINT e crittografiche. Quest’ultimo non è inserito nella lista precedente in quanto non ritenuto un diretto discendente del KGB e non collegato direttamente all’APT 29 di cui discutiamo in questo articolo.

Si ritiene che Cozy Bear operi nel nexus di FSB e SRV.

Storicamente, dal 2008 ad oggi, Cozy Bear ha avuto obiettivi molto diversificati, riuscendo a penetrare anche bersagli di alto livello come i network “unclassified” della Casa Bianca, dello State Department e dello US Joint Chiefs of Staff o il National Democratic Committee nel runup elettorale del 2016. Quest’ultima attività di Cozy Bear è stata il fulcro del Joint Report di DHS e FBI del 2017 denominato “Grizzly Steppe”.

Altri bersagli tipici di questa APT sono organizzazioni istituzionali e private, operanti nel campo della ricerca militare, energetica, farmaceutica e medica. Sono inoltre registrati diversi casi di interesse da parte del gruppo Cozy Bear per grossi studi legali e compagnie assicurative.

Tecniche, tattiche e procedure di Cozy Bear

Un’APT in attività per un così lungo periodo ha ovviamente diversi tool a propria disposizione e molti di questi si sono evoluti nel corso degli anni.

È dunque utile presentare le TTP (tecniche, tattiche, procedure) più recentemente attribuite a Cozy Bear in modo da meglio comprendere il modus operandi di questo gruppo di hacker russi.

In particolare, analizzeremo le TTP osservate da ESET nell’operazione di Cozy Bear da loro denominata “Operation Ghost”. Va sottolineato preliminarmente che anche rispetto al resto del mondo APT, l’attività di Cozy Bear è particolarmente persistente. Una volta acquisite credenziali e accessi, gli aggressori possono muoversi lateralmente anche per anni raccogliendo informazioni e cementando la loro intrusione, muovendosi al di sotto dei radar.

Ecco, dunque, le TTP vere e proprie identificate nell’analisi della “Operation Ghost”.

Il vettore primario

Il vettore primario di attacco è ancora incerto. Le ipotesi attuali principali sono due:

  1. il primo vettore ipotizzato è l’utilizzo di spear phishing contenente link a malware (quindi phishing mirato al drive-by download);
  2. il secondo vettore ipotizzato è l’acquisizione di credenziali e il movimento laterale verso sistemi di interesse.

Fase 1: il downloader

Un downloader viene installato sulla macchina vittima. Lo scopo del downloader è quello, come il nome suggerisce, di scaricare una backdoor.

Esistono due diversi downloader utilizzati da Cozy Bear: PolyglotDuke e RegDuke.

Il primo utilizza siti pubblici e molto noti come Twitter e Reddit per recuperare la URL del server C2 (command and control), utilizza poi la steganografia per la comunicazione con il server stesso.

Il secondo utilizza Dropbox come C2 server: il payload principale è presente su disco e criptato, la chiave crittografica è salvata in un registro di Windows.

Fase 2: la backdoor light

La prima backdoor che viene installata è denominata MiniDuke.

Le funzionalità di questa backdoor, sempre scritta in assembly x86, sono rimaste invariate nel corso degli anni.

La sua dimensione è invece cresciuta notevolmente, probabilmente a causa delle tecnologie di offuscamento utilizzate. Di particolare interesse è l’offuscamento attraverso il control-flow flattening, analizzabile nell’immagine sottostante:

La backdoor installata ha a disposizione circa 38 funzioni/comandi. I più rilevanti sono:

  • caricare/scaricare file;
  • creare processi;
  • ottenere informazioni di sistema (hostname, ID, pipename, HTTP method);
  • ottenere una lista dei drive locali e rispettivi tipi (unk, nrt, rmv, fix, net, cdr, ram, und);
  • read/write di pipe denominate

Fase 3: la backdoor avanzata

Nel caso in cui una macchina sia ritenuta particolarmente appetibile dai gruppi dietro a Cozy Bear, viene installata una backdoor più avanzata della molto basica MiniDuke. Questa backdoor è chiamata FatDuke.

FatDuke è persistente, viene eseguita ad ogni login utente. La persistenza avviene attraverso l’uso – generalmente – della chiave di registro HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.

FatDuke è altamente offuscato. Tre sono principalmente le tecniche utilizzate per offuscare questa backdoor:

  • viene utilizzato lo string stacking per tutte le stringhe più importanti;
  • vengono utilizzati diversi opaque predicates. (espressioni sempre vere o sempre false inserite nel codice solo per renderlo meno leggibile – NDA);
  • vengono aggiunte funzioni e variabili inutili / non facenti parte della semantica del programma. (funzioni magari eseguite, ma senza un scopo preciso, se non rendere più difficile comprendere l’esecuzione del codice – NDA)

FatDuke comunica con il server C2 attraverso semplici richieste GET. Le risposte del server C2 a queste richieste sono in genere pagine HTML contenenti immagini PNG corrotte contenenti a loro volta un JSON criptato con AES-256 ECB contenente le istruzioni dal C2 alla macchia infetta.

FatDuke può effettuare diverse azioni in più rispetto a MiniDuke.

FatDuke può effettuare pivoting e movimenti laterali molto avanzati utilizzando una funzione interna chiamata PivotingPipeTransport, per comunicare con il server C2 anche in assenza di una connessione internet esterna.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr