I ricercatori di Eset ricostruiscono le operazioni di un pericoloso gruppo di criminali informatici, che hanno colpito obiettivi politici di alto livello
Bratislava – “I Dukes non sono tornati – non sono mai andati via”. Chiamateli Dukes, Yttrium o con il famigerato nome dei Cozy Bear: loro saranno sempre Apt29, ossia un gruppo classificato advanced persistent threat, “minaccia informatica avanzata e persistente” e ritenuto collegato ai servizi segreti russi. Con la sigla Cozy Bear è ritenuto infatti autore, nell’estate 2015, dell’intrusione nei sistemi informatici del Democratic National Committee durante la corsa alle elezioni americane del 2016, ossia il caso alla base del Russiagate.
PolyglotDuke, RegDuke e FatDuke: sono i bizzarri nomi delle tre famiglie di nuovi malware usati nelle attività segrete del gruppo, fra 2013 e 2019. “In questo periodo i Dukes hanno colpito i ministeri degli Esteri in tre paesi europei e si sono infiltrati nell’ambasciata a Washington di un paese dell’Unione europea. La loro ultima azione è stato il rilascio del nuovo modello di FatDuke in giugno, ma è lecito pensare che opereranno anche in occasione delle elezioni presidenziali Usa del 2020. Possiamo confermare che dietro gli attacchi al Dnc e Operation Ghost e si trova lo stesso gruppo”. Lo spiega Mathieu Faou, ricercatore di reverse engineering, che negli ultimi 18 mesi ha studiato e ricostruito, nei laboratori Eset di Bratislava, la cosiddetta “Operation Ghost” dei Dukes, ritenuta ancora in corso.
Il curriculum (noto) dei Dukes
L’attività del gruppo Apt29 inizia nel 2008 e le prime tracce dei Dukes risalgono al 2009, quando il malware PinchDuke viene usato contro la Georgia (ministero della Difesa), Turchia e Uganda (ministeri Affari esteri). Nello stesso anno vengono attaccati un think tank di politica estera negli Stati Uniti e la Nato, nel contesto di un’esercitazione in Europa e presso l’”Information Centre” in Georgia. Il primo report pubblico sui Dukes viene pubblicato nel 2013, con un’analisi della backdoor MiniDuke da parte di Kaspersky.
Seguono un attacco al Pentagono (2015) e in Norvegia, segnatamente ai ministeri della Difesa, Affari Esteri e Labour Party (2017). L’ultimo account su Twitter dei Dukes risale all’ottobre 2018, mentre un’ulteriore attività sospetta è al mese successivo, quando FireEye scopre una campagna di email phishing ai danni di organizzazioni statali e private americane, apparentemente inviate dal Dipartimento di Stato degli Stati Uniti.
“Nel periodo 2013-19 i Dukes hanno effettuato un’operazione di retooling – spiega Faou -, sfruttato post pubblici sulle piattaforme social, usato la steganografia per nascondere la comunicazione fra le macchine compromesse e i loro server, preso di mira bersagli diplomatici, organizzazioni militari e politiche simili. Abbiamo osservato una catena di infezione quasi completa e anche l’uso del MiniDuke (una backdoor già documentata). Da questi indizi ricorrenti, insieme ad altre somiglianze nel codice utilizzato in malware già usati in passato come CozyDuke e OnionDuke pensiamo che questo gruppo non sia mai andato via”.
I nuovi trucchi di Operation Ghost
I Duke hanno un’articolata piattaforma di malware che sferra l’attacco in tre stadi, in cui ogni passaggio serve per aprire una nuova backdoor più sofisticata nel sistema infettato. I punti di partenza ipotizzati sono due, in base ai malware usati: PolyglotDuke e RegDuke. Il primo, sarebbe stato veicolato con una campagna di spear phishing via email. Secondo i ricercatori di Eset, PolyglotDuke non è nient’altro che un aggiornamento di codice del precedente OnionDuke. Una volta introdotto nel pc, rintraccia la url crittografata di un server C&C (Command & control) pubblicata in un post su magari Twitter o Imgur. Polyglot si chiama così perché riconosce i caratteri in katakana giapponese, cherokee, e kangxi cinese usati per mascherare la stringa di indirizzo. Una delle prime tracce di questa campagna fu trovata su Reddit nel giugno 2014.
Contattato il server C&C, avviene il download di un’immagine che nasconde in realtà un payload malevolo. All’interno di ogni pixel del file, infatti, i programmatori nascondono un byte di dati con la tecnica steganografica. Questo metodo permette di criptare un comando segreto che a sua volta viene decifrato dal malware e avvia così il download di MiniDuke, una backdoor protagonista della seconda fase.
Nel secondo punto di partenza, è invece un account Dropbox a comportarsi come server C&C. Per fare in modo che la macchina infettata lo contatti e scarichi il file .jpg, gli aggressori si servono del malware RegDuke che installa una backdoor, magari dopo un furto di credenziali.
Una volta operativo, MiniDuke ricontatta a sua volta il server C&C e, scarica una backdoor ancora più sofisticata, con molte funzionalità e una configurazione flessibile. Si tratta di FatDuke, così definito per le sue dimensioni di 13MB, fatto insolito poiché il codice di per sé non dovrebbe essere più grande di 1MB, ma ampliato solo per offuscare la parte malevola con predicati opachi. FatDuke è un po’ la “flagship backdoor” dei Dukes, viene dispiegato solo sui device più interessanti, può essere controllato da remoto dal C&C e inoltre si ricarica e modifica frequentemente per bypassare i controlli di cybersecurity.
“Un altro accorgimento dei Dukes è stato di non utilizzare la stessa infrastruttura C&C fra diverse organizzazioni colpite – spiegano da Eset -. Questo tipo di compartimentazione viene riscontrata solo negli aggressori più meticolosi e impedisce che l’intera operazione salti quando una singola vittima scopre l’infezione e condivide la rete con la community di sicurezza. La nostra ricerca – concludono da Eset –, di cui pubblichiamo una lista completa degli indicatori di compromissione, dimostra che ‘spies are gonna spy’: anche se un gruppo di spionaggio sparisce dai report pubblici per molti anni, potrebbe non aver smesso di sparire. I Dukes sono stati in grado di volare sotto i radar per molti anni, colpendo bersagli di alto valore come prima”.
Leggi anche
