L’operazione GhostShell, portata avanti dagli analisti della squadra Nocturnus facenti capo a Cybereason, ha rivelato una nuova campagna di spionaggio informatico a danno principalmente delle industrie aerospaziali e delle telecomunicazioni, il cui scopo messo in atto era colpire obiettivi strategici al fine di rubare informazioni sensibili su asset critici, tecnologie e infrastrutture.
Dall’analisi dei bersagli colpiti – principalmente target presenti in Medio Oriente ma con diramazioni anche in Russia, Stati Uniti ed Europa – è stato possibile risalire agli attori coinvolti nell’attacco.
Operazione GhostShell, così il malware silente ha spiato aziende aerospaziali e telco: i dettagli
Indice degli argomenti
La campagna di cyber spionaggio GhostShell
Durante le indagini compiute è stato possibile attribuire l’attacco a un nuovo gruppo denominato MalKamak, basato in Iran e rispondente all’ipotesi più accreditata secondo cui l’attacco sia stato originariamente sostenuto proprio da uno stato nazionale.
La ricerca ha inoltre evidenziato possibili connessioni anche con altri attori di minacce APT che hanno trovato sostegno nello Stato iraniano, come Chafer Apt (APT39) e Agrius APT.
A partire dal 2018, lo studio è stato condotto analizzando un RAT (Remote Access Trojan) soprannominato ShellClient che ad oggi risulta ancora mai documentato, motivo per cui si ritiene che il gruppo MalKamak sia attivo almeno da quell’anno.
Il RAT è in continua evoluzione da allora, mentre elude con successo la maggior parte degli strumenti di sicurezza e rimane completamente sconosciuto.
Studiando i cicli di sviluppo di ShellClient, i ricercatori sono stati in grado di osservare come lo stesso, nel corso del tempo, sia passato dall’essere una shell inversa piuttosto semplice, sino a tramutarsi in un sofisticato RAT utilizzato per favorire le operazioni di spionaggio informatico rimanendo nell’ombra.
Le versioni più recenti sfruttano il cloud Dropbox per esfiltrare i dati rubati e inviare comandi al malware: questo meccanismo che si avvale dei sistemi cloud è sempre più diffuso ed utilizzato da attori malevoli grazie alla propria capacità di mimetizzarsi con il normale traffico di rete.
Tuttavia, a ben vedere, è possibile osservare come questi attacchi non stiano mettendo in risalto specifiche vulnerabilità o bug di Dropbox, bensì sfruttino la struttura degli spazi di archiviazione servendosi dei server del fornitore del servizio facendo leva sulla notorietà e sul clima di fiducia che ruota attorno ai nomi già diffusi di questo spazio di archiviazione.
Un simile stratagemma fa sì che gli utenti abbiano pochi dubbi nello scaricare da simili servizi documenti aziendali o allegati, poiché ritenuti notoriamente sicuri. Sfortunatamente, però, i servizi cloud possono avere bug e difetti, esattamente come altri servizi online meno blasonati, e in alcuni casi rappresentano un ottimo strumento attraverso il quale veicolare i malware su larga scala.
I gruppi criminali prendono di mira il cloud
Altri attacchi analoghi a GhostShell che sfruttano gli spazi di archiviazione, come Dropbox e Google Drive, sono stati attribuiti ad un gruppo di cyber-criminali chiamato CyberGang operante nei territori palestinesi della Cisgiordania e della Striscia di Gaza per mezzo delle campagne MoleRATs.
Proprio a tal proposito, si sospetta che i MoleRATs siano impiegati per ottenere informazioni sensibili da utilizzare con diretto riferimento alla questione israelo-palestinese per fini politici.
Entrambe le campagne con questo compito scoperte, tali Spark e Pierogi, adottano vere e proprie strategie di ingegneria sociale: sebbene le vittime di questi attacchi siano state inizialmente infettate attraverso e-mail di phishing contenenti documenti dannosi, i ricercatori hanno notato che gli hacker hanno utilizzato account Facebook e piattaforme di condivisione di file cloud come Dropbox e Google Drive per configurare i server di comando e controllo del malware, permettendo di mimetizzare il codice dannoso identificativo posto in bella vista.
Nel caso specifico dell’attacco Spark è stato possibile risalire all’utilizzo di una backdoor, grazie alla quale i malware e i contenuti malevoli correlati verrebbero immagazzinati e conservati in altri spazi di archiviazione ritenuti più affidabili, come Dropbox o Egnyte.
Questo meccanismo permetterebbe di innalzare esponenzialmente il numero di sistemi di sicurezza raggirabili e allo stesso tempo confondere il traffico con quello assiduamente utilizzato dai cloud.
Il cyber spionaggio alza il tiro
Il report GhostShell a proposito dei gruppi iraniani finanziati dallo Stato segue lo studio analogo condotto per la serie di attacchi di matrice cinese noti come DeadRinger, già pubblicato agli inizi del 2021 da Cybereason.
DeadRinger racchiuderebbe in sé un gruppo complesso di cybercriminali ritenuti responsabili delle strategie di attacco HAFNIUM, che hanno sfruttato le vulnerabilità di Microsoft Exchange per arrivare a target di alto livello come i server di fatturazione contenenti CDR (Call Detail Record) oltre a componenti di rete chiave (server, controller di dominio).
All’interno di questo studio sono stati identificati tre differenti cluster riconducibili a DeadRinger, sovrapponibili tra loro per le attività condotte nello stesso ambiente, nello stesso periodo e riguardanti gli stessi endpoint:
- cluster A: che si ritiene essere gestito da Soft Cell, gruppo operativo dal 2012 nel sud-est Asiatico e operante sotto l’egida della Cina;
- cluster B: ritenuto gestito da Naikon APT, vale a dire un gruppo attivo dal 2010 nei Paesi ASEAN, attribuito alla regione militare di Chengdu dell’Esercito Popolare di Liberazione Cinese;
- cluster C: si ritiene attribuibile al gruppo cinese APT27/Emissary Panda.
GhostShell: riflessioni sulla “Digitalizzazione della PA”
Il cospicuo incremento registrato per gli attacchi ai data center e ai sistemi cloud rappresenta un vero e proprio punto caldo, soprattutto in relazione al processo di transizione digitale che l’Italia sta effettuando con riguardo alla digitalizzazione della Pubblica Amministrazione e alla creazione del c.d. “Cloud della PA”.
Il modello Cloud della PA si propone di mitigare i rischi legati ai servizi che non rispettino i principali standard di sicurezza, garanzie operative e affidabilità definiti a livello internazionale, qualificando sia i servizi quanto le infrastrutture di archiviazione secondo specifici parametri di sicurezza e affidabilità idonei per le esigenze della PA.
La strategia Cloud Italia si inserisce in questo contesto come una vera e propria metodologia idonea a implementare il disegno “Cloud-First” descritta dal PNRR, con l’obiettivo che tutti i servizi erogati siano basati su applicazioni Cloud-native e sviluppate cioè nativamente sulla base dei paradigmi Cloud.
Lo spunto fondamentale di riflessione è dato dalla gestione della sicurezza dei dati della Pubblica Amministrazione negli spazi di archiviazione: quando si parla dei rischi relativi all’utilizzo del cloud storage non si allude esclusivamente alla necessità di prevenire il rischio di attacchi da parte di hacker, ma anche alla necessità di prevedere tecnicamente e giuridicamente delle misure idonee a garantire alla Pubblica Amministrazione di non perdere il controllo tanto materiale quanto diretto dei dati una volta che la gara sia scaduta.
Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi
Difatti, è innegabile che il trasferimento dei dati nei sistemi archiviazione possa rappresentare un potenziale pericolo. Ad esempio, qualora il cloud provider avesse sede all’esterno dell’Unione Europea, potrebbe sorgere il rischio di ingerenze da parte del governo che ne eserciti la giurisdizione, o altri tipi di poteri giuridici, sullo stesso: tale governo potrebbe infatti richiedere a questi l’accesso ai dati da esso gestiti per conto di clienti europei.
La razionalizzazione dei data center pubblici, pertanto, non può prescindere da un’adeguata progettazione idonea a prevenire anche il rischio di concentrazione della maggior parte dei dati della PA nelle mani di pochi gruppi. Ciò sarebbe possibile grazie ad apposite previsioni di specifiche strategie di uscita in presenza di abusi o violazioni delle regole.
La PA italiana sul cloud: tutti i tasselli di una partita epocale
