ATTACCHI APT

L’evoluzione del gruppo APT LuoYu: ora lo teme anche l’Occidente

Un gruppo APT noto fino a poco tempo fa solo in alcuni paesi asiatici, sta conoscendo una diffusione e uno sviluppo tecnologico che lo hanno portato a colpire anche l’Occidente: perché temerlo, come difendersi

09 Mar 2022
M
Riccardo Meggiato

Consulente in cyber security e informatica forense

L’Advanced Persistent Threat, per definizione, è uno degli attacchi più temuti in ambito aziendale. Non c’è da stupirsi: dietro il suo acronimo, APT, si cela, in realtà, un ombrello di tecniche che hanno come obiettivo quello di penetrare illecitamente in un sistema informatico e starci per tutto il tempo necessario a portare a termine i propri obiettivi. Che, nel caso di una gang di cyber criminali, sono sempre malevoli. Di solito, si tratta di campagne di esfiltrazione di dati, che possono essere poi arricchite da altre attività come l’installazione di ransomware.

Una questione di risorse

Un APT è molto complesso da realizzare. Innanzitutto, perché si tratta di un attacco che richiede gioco forza l’intrusione nel sistema informatico designato, e quindi non ci si limita per esempio a una sua manomissione (come avviene per esempio con un DDoS, che di fatto è esterno alla rete). E poi perché rendere permanente l’accesso a un sistema richiede tecniche, tool e competenze di alto livello, specie su determinate infrastrutture.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

È per questa ragione che, nel corso degli anni, si sono profilati all’orizzonte gruppi cybercrime specializzati negli APT, al punto da diventarne un po’ gli emblemi. Si tratta di gruppi così specializzati che, spesso, sono ingaggiati da altri attori del panorama cybercrime, che preferiscono puntare su esperti della tecnica che perdere tempo e risorse sul suo apprendimento.

Il cyber crime in Italia secondo la Polizia Postale: i consigli per difendersi

Conoscere LuoYu

Uno dei gruppi più noti e temibili in ambito APT è quello di LuoYu. In realtà se ne sente parlare poco in Occidente, rispetto ad altri suoi concorrenti, perché fino a qualche tempo ha lavorato principalmente in Asia, in particolare Giappone, Cina, Hong Kong, Taiwan e Corea del Sud. Tuttavia, l’efficienza dei tool che il gruppo sviluppa in casa li ha portati a diffondersi, progressivamente, anche in altri paesi. Del gruppo, in sé, si continua a sapere poco. È attivo dal 2014 e probabilmente è composto da professionisti cinesi del cybercrime, e predilige obiettivi che riguardano grosse aziende nel ramo tecnologico, editoriale e manifatturiero.

L’estrema territorialità di questo gruppo APT, unita all’utilizzo di idiomi orientali nelle sue azioni, ne ha circoscritto la fama per buona parte della sua vita. Fino a quando, per lo meno, la specialità della casa, vale a dire i tool sviluppati internamente, o quelli modificati ad hoc, per perpetrare gli attacchi APT, hanno iniziato a diffondersi anche in Occidente. Ed è a questo punto che LuoYu ha iniziato a essere studiato come si conviene.

Un’evoluzione senza sosta

LuoYu è una creatura della mitologia cinese. Una sorta di pesce dotato di ali che, quando appare, è presagio di alluvioni e maremoti. All’inizio della sua storia, LuoYu si era specializzato in banali app di esfiltrazione di dati disseminate negli app store orientali. Ben presto, tuttavia, ha iniziato a produrre veri e propri malware che innestava in app innocue.

La crescente diffusione delle attività ha portato il gruppo APT a sviluppare ReverseWindow, un malware multi-piattaforma per ambienti Windows, Mac OS, Linux e Android.

L’attribuzione dello sviluppo di un malware è sempre complessa, ma oggi si ritiene estremamente probabile che ReverseWindow sia proprio un prodotto di LuoYu, che ha iniziato a sfruttare a partire da alcuni attacchi ad aziende e centri di ricerca universitari a Hong Kong, Giappone, Taiwan e Corea del Sud, nella primavera del 2017, puntando inizialmente su sistemi MacOS. ReverseWindow è stato perfezionato nel corso del tempo, andando a toccare tutti i principali sistemi operativi desktop e arrivando a una versione Android che si spaccia per applicazione legittima.

È qui che ha mostrato a una maturità e un grado di sofisticazione tali da attirare su LuoYu le attenzioni dei gruppi occidentali di cybercrime. E non solo, visto che evidenze della presenza del malware sono state rilevate anche in app di chat specie nel periodo delle proteste sul “extradition bill” a Hong Kong.

Una coincidenza così ben delineata e sovrapponibile da far temere che le funzioni di esfiltrazione del malware di LuoYu fossero state utilizzate per raccogliere informazioni sui manifestanti.

Il passaggio a WinDealer

Da qui, l’idea che ci si è fatti, è che il gruppo APT LuoYu abbia conosciuto un crescente successo ed espansione proprio per la capacità di produrre da sé tool dall’elevata efficacia, ammiccando a impieghi governativi. Il che, specie in tempi recenti, ha garantito al gruppo di poter controllare la filiera del cybercrime fin dal primo passaggio.

Non a caso TeamT5, il principale gruppo di ricercatori coinvolti nell’analisi di LuoYu, ha riscontrato che a partire dal 2020 il gruppo cinese è andato incontro a uno sviluppo tecnologico esponenziale. Innanzitutto, il parco software del gruppo si è arricchito di WinDealer, un malware a dire il vero un po’ “antico”, che tuttavia si è evoluto fino a diventare molto efficiente e capace di diffondersi anche in occidente.

Espansione a Ovest

WinDealer è, a tutti gli effetti, un tool specializzato in APT ed è stato rilevato ben oltre i confini operativi coperti fino a oggi da LuoYu. Tra le vittime, infatti, si sono aggiunte aziende di Stati Uniti, Russia, Repubblica Ceca, Australia e Germania. WinDealer, nella fattispecie, è un backdoor, cioè un software utilizzato per creare un collegamento persistente e piuttosto stabile tra il sistema della vittima e il gruppo di cybercriminali.

La diffusione di WinDealer ha attirato le attenzioni dei centri di ricerca, che a quel punto ne hanno ricostruito la genesi e le caratteristiche attuali. Nato nel 2008, proprio a opera di LuoYu, WinDealer inizialmente si occupa di raccogliere informazioni sensibili dai principali servizi di messaggistica cinesi, instillando l’idea che sia un malware realizzato su commissione dal governo per esfiltrare informazioni dai dissidenti, grazie ai 15 comandi che mette a disposizione. Comandi che, già nella versione successiva, rilasciata cinque anni dopo, sono diventati 26, arricchendosi in particolare di nuove tecniche di monitoraggio da remoto.

Elevata sofisticazione

Le continue evoluzioni sono sfociate nell’ultima versione di WinDealer, che lo rende un software dotato di tecniche steganografiche, capacità di integrazione in librerie DLL, molte funzioni di comunicazione C&C e di raccolta informazioni dal sistema della vittima (inclusa quelal di produrre screenshot), capacità di essere espanso previo caricamento e installazione di plugin.

WinDealer, oggi, è veicolato tramite la diffusione di software legittimi che vanno poi a caricare l’eseguibile o la DLL che integra il codice malevolo.

È importante notare che, negli ultimi attacchi analizzati, LuoYu ha fatto uso anche di altre tipologie di tool. Per esempio Shadowpad, un Remote Access Trojan (RAT) sviluppato e utilizzato dal gruppo Bronze Atlas, sponsorizzato dal governo cinese. Il 2021 ha sancito l’affermazione di LuoYu come di uno dei principali attori nel campo del APT e la sua esondazione nel territorio occidentale va monitorato e contrastata, per via della storicità del gruppo e della sua importante evoluzione.

Come difendersi

Dal punto di vista della prevenzione, rimangono validi i principali consigli che si dispensano per mettersi al riparo da APT come da altre minacce. Il primo è di verificare oltre ogni ragionevole dubbio la bontà di qualsiasi link che si va a cliccare, se non altro nel dominio aziendale, specie se porta al download di file. In caso di download, verificare ogni file scaricato, in modo esplicito se il controllo non viene effettuato in modo automatizzato.

E senza accontentarsi del check del browser. Infine, lavorare a livello di firewall, puntando su modelli di sicurezza basati su Implicit Deny e Zero Trust.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 5