C’è una nuova cyber minaccia, che da qualche tempo perseguita le ambasciate e organizzazioni della Difesa. Dall’Europa sud orientale agli ex stati dell’URSS, al Sud America. Si chiama Turla ed è un gruppo di spionaggio informatico tra i più attivi al momento.
La formazione ha anche sviluppato un nuovo trojan: Gazer. Una backdoor molto difficile da rilevare e da bloccare. Questa è stata però scoperta dai big della cybersecurity, come ESET e Kaspersky, che hanno bloccato i tentativi di intrusione e cominciato a dare la caccia agli hacker. Ciò studiando sia le loro tecniche, tattiche e procedure (TTP) sia gli stessi codici usati per le aggressioni e le tracce che hanno lasciato.
La storia e le TTP degli hacker
Turla, peraltro, è nota per aver impiegato nel tempo diverse famiglie di malware in piccole campagne mirate. Sostituendole con nuovi strumenti a ogni cambio di bersaglio. Da Skipper a Carbon, passando per Kazuar. Il modus operandi degli hacker è abbastanza lineare. Questi compromettono una vittima e inoculano una backdoor iniziale, che poi useranno per installarne un’altra: solitamente Carbon o Kazuar. Tra il 2016 e il 2017, però, secondo ESET e Kaspersky, il gruppo ne ha sviluppata una nuova. Questa viene impiegata nella “fase 2” del cyber attacco e tradizionalmente è abbinata a Skipper. Il suo nome è Gazer. In un primo tempo, il malware è stato impiegato per infettare ambasciate e sedi diplomatiche. Quest’anno, invece, ha preso di mira anche il settore della Difesa.
Come funzionano i cyber attacchi con Gazer
Kaspersky ed ESET hanno analizzato dettagliatamente i cyber attacchi con i malware Gazer (rapporto WhiteBear), Kazuar e Carbon (WhiteAtlas). Tutte e tre le backdoor possono ricevere compiti criptati da server di comando e controllo. Che siano eseguiti da macchine infette o da altre nel network. Usano container cifrati per immagazzinare i componenti del codice malevolo e le configurazioni. Inoltre, i server fanno parte delle risorse PE di Gazer e sono tutti siti legittimi ma compromessi. Agiscono come un proxy “first layer”. Peraltro uno dei server di comando e controllo è stato usato in una backdoor JScript chiamata Kopiluak e le 3 famiglie di malware hanno una lista simile di processi. Questi potrebbero essere usati come bersaglio per inoculare il modello usato per comunicare con i server, all’interno del codice binario.
Gli hacker lavorano con ogni probabilità per un governo e stanno già sviluppando un nuovo malware
Quanto emerso rende chiara una cosa. Il gruppo di cyber spie Turla è ben organizzato e finanziato. Altrimenti non sarebbe mai potuto giungere a questo livello di sofisticazione. Non solo per i malware, le backdoor e i trojan. Ma anche negli strumenti per rimanere nell’ombra. Tanto che gli attacchi con Gazer sono cominciati almeno a febbraio del 2016. Solo molto recentemente, però, gli esperti di cybersecurity sono riusciti a collegarli agli hacker. Di conseguenza, con ogni probabilità la formazione lavora per un attore a livello di nazione, che assegna gli obiettivi e si occupa di fornire agli “operatori” il sostegno necessario. Anche perché, tutti gli analisti sono convinti che il gruppo stia già studiano un nuovo tool, ora che Gazer è stato scoperto.