Una analisi delle tecniche usate per violare una rete federale e per esfiltrarne informazioni
L'agenzia federale statunitense che monitora e tutela la cyber security di tutto l'apparato federale americano - la CISA - ha pubblicato una
analisi dettagliata di un attacco riuscito. Ha colpito una altra agenzia federale americana, che la CISA non ha specificato. Il
modus operandi degli attaccanti è stato descritto perché l'attacco potrebbe essere replicato anche verso altre entità. Ed è comunque un caso interessante di come si possono superare i controlli e i filtri dei sistemi di sicurezza.
L'attacco si è basato su un elemento ormai chiave per la gran parte delle attività di data breach: la
raccolta preventiva di credenziali di accesso valide. Gli attaccanti a quanto pare hanno sfruttato una o più
vulnerabilità note - ed evidentemente non patchate, in questo caso - della piattaforma VPN Pulse Connect Secure per ottenere le credenziali di accesso valide sia per entrare nella VPN dell'agenzia colpita, sia per accedere al suo ambiente Office 365.
Per il loro primo ingresso in rete, gli attaccanti hanno usato le
credenziali di un utente Office 365. Si sono connessi a un server SharePoint e hanno scaricato un file, probabilmente solo per verificare il buon funzionamento della prima penetrazione. Messo un piede nella rete, gli attaccanti hanno iniziato ad
esplorarla per raccogliere informazioni utili alla penetrazione in altri sistemi. Hanno ad esempio
consultato la posta Office 365 alla ricerca - senza successo - di email del supporto tecnico che potessero contenere altre password di identificazione.
Cosa altrettanto importante, gli attaccanti hanno usato normali comandi Windows per
mappare tutta la rete a cui era connesso il sistema colpito, identificando le configurazioni dei principali server. Hanno anche esaminato la struttura Active Directory dell'organizzazione, modificandola. Operando con
privilegi di amministrazione,
hanno creato un nuovo utente sul server colpito. E hanno usato questo nuovo account per varie operazioni, tra cui soprattutto raccogliere dati ed esfiltrare documenti.
Per ridurre al minimo le tracce della propria presenza, gli attaccanti hanno anche creato
un volume remoto (su un proprio server) mantenendolo connesso al server colpito. Questo ha permesso di salvare fuori dalla rete colpita i file necessari alle operazioni di esplorazione, modifica e infezione della rete stessa. In questo modo in rete sono rimasti
pochi artefatti da esaminare per le successive attività di analisi post-evento.
Gli attaccanti hanno consolidato la loro posizione nella rete colpita creando due task di sistema che il cui compito era essenzialmente
creare e mantenere aperta una connessione dal nodo colpito a un server di comando e controllo. Usando una porta di comunicazione normalmente chiusa, ma aperta dagli attaccanti. Tramite questa connessione è stato scaricato un malware - un
dropper - che ha poi scaricato altri payload dal server remoto.
Il dropper e gli altri payload non sono stati bloccati dalle protezioni anti-malware installate sui nodi della rete colpita perché
queste protezioni sono state aggirate. Gli attaccanti hanno identificato l'anti-malware utilizzato dall'agenzia e ne hanno studiato il funzionamento. L'anti-malware ha - correttamente - messo in quarantena il dropper e lo ha spostato in una directory temporanea per la sua analisi. Ma gli attaccanti
hanno scoperto quale fosse questa directory, vi sono entrati e hanno eseguito il dropper da lì.
Indicatori di compromissione
CISA ha indicato alcuni elementi che possono essere usati come indicatori di un attacco in corso da parte dello stesso gruppo di attori ostili. Innanzitutto una lista degli
indirizzi IP usati nelle comunicazioni da/verso i server di comando e controllo.
185.86.151[.]223
91.219.236[.]166
207.220.1[.]3
78.27.70[.]237
185.193.127[.]18
E la segnalazione di verificare l'aperture di porte di comunicazione che normalmente sono chiuse, in particolare la
porta 8100. Altri indicatori sono ovviamente i picchi di traffico in uscita per la trasmissione di file di grandi dimensioni, che potrebbero essere il contenuto di intere directory, zippato. Un altro segnale da tenere presente è un'attività anomala con traffico in uscita per i protocolli
SSH, SMB, RDP. Che dovrebbero comunque già essere monitorati per la loro potenziale
pericolosità.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News!
Seguici