Tra il 2017 e il 2018 gli esperti di Kaspersky Lab sono stati coinvolti in alcune operazioni di incident response in seguito ad una serie di attacchi informatici che hanno preso di mira organizzazioni finanziarie dell’Europa orientale.
Stando a quanto riferito da Kaspersky almeno otto banche dell’est Europa sono state aggredite usando metodologie molto simili, con perdite stimate in decine di milioni di euro.
I ricercatori hanno scoperto che in tutti i casi la rete aziendale era stata violata attraverso diverse tipologie di dispositivi – controllati dai criminali informatici -, introdotti in modo furtivo negli edifici delle organizzazioni e connessi alla rete.
L’attacco, che è stato battezzato DarkVishnya, poggiava sull’utilizzo di notebook, Raspberry Pi (single-board computer delle dimensioni di una carta di credito) e Bash Bunny, una chiavetta USB generalmente utilizzata per svolgere attività di penetration testing e verificare la risposta delle soluzioni di sicurezza utilizzate all’interno di un’infrastruttura di rete.
Come spiega Sergey Golovanov (Kaspersky Lab), all’interno della rete i dispositivi sfruttati per sferrare gli attacchi e sottrarre denaro erano visti come unità flash esterne, semplici computer o addirittura periferiche di input (i.e. tastiere USB).
Dotati di modem GPRS/3G/4G (LTE) integrato i vari device portati all’interno della rete degli istituti di credito non facevano altro che stabilire una reverse connection stabilendo un canale di comunicazione cifrato con un server remoto (così da nascondere il contenuto di tutti in pacchetti dati in ingresso e in uscita).
Nel frattempo i dispositivi malevoli effettuavano una scansione della rete locale alla ricerca di risorse condivise e cartelle direttamente accessibili. Veniva inoltre posta in essere un’attività di monitoraggio del traffico locale alla ricerca di credenziali d’accesso e dati riservati.
Come spiega Golanov, quanto accaduto dimostra ancora una volta la pericolosità degli attacchi fileless: sulle singole workstation o sui server, infatti, non veniva caricato alcun componente software così da non insospettire i sistemi di sicurezza usati all’interno dell’organizzazione.
Piuttosto, come spiegato nel nostro articolo Rimozione malware: come accorgersi della presenza di minacce fileless, venivano utilizzati strumenti di sistema come PowerShell per superare la tecnologie di whitelisting e le policy impostate a livello di dominio.
Dal momento che alcuni amministratori di rete sono soliti bloccare l’utilizzo di PowerShell, gli aggressori autori degli attacchi DarkVishnya hanno fatto uso della libreria Impacket Python o dei file winexesvc.exe
e psexec.exe
per disporre l’esecuzione remota dei processi.
In ogni caso si tratta infatti di strumenti software del tutto legittimi che sono normalmente usati dagli amministratori per eseguire comandi su altre macchine e per ottenere sul sistema locale tutte le risposte ricevute. PsExec, ad esempio, è usato anche per attività malevole sin dal 2004 ed è stato sfruttato dal ransomware NotPetya per diffondersi all’interno delle reti (il cosiddetto “movimento laterale”).
Per approfondire, suggeriamo anche la lettura dell’articolo Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda.