Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti di Ctrl-Alt-Intel hanno scoperto un server aperto associato al gruppo di hacker iraniano MuddyWater e hanno ottenuto l’accesso ai suoi strumenti, ai registri operativi e ai dati rubati. L’analisi dell’infrastruttura ha permesso loro di tracciare l’intero ciclo della campagna di cyberspionaggio , dalla ricognizione e dall’hacking dei sistemi al controllo dei dispositivi infetti e all’esfiltrazione dei dati.
Gli analisti hanno esaminato un server virtuale nei Paesi Bassi contenente strumenti per la gestione di sistemi infetti, script, log degli attacchi e frammenti di dati delle vittime. Sulla base di una combinazione di indicatori, gli specialisti hanno concluso che l’infrastruttura apparteneva al gruppo MuddyWater, noto anche come Static Kitten, Mango Sandstorm e Seedworm.
I legami del gruppo con il Ministero dell’Intelligence e della Sicurezza iraniano sono stati ripetutamente menzionati in precedenti rapporti di altre società di sicurezza informatica.
Lo studio ha rivelato che gli operatori hanno scansionato attivamente Internet alla ricerca di sistemi vulnerabili. Per la ricognizione, hanno utilizzato Shodan, Nuclei e strumenti di enumerazione dei sottodomini. Tra gli obiettivi figuravano organizzazioni in Israele, Giordania, Egitto, Emirati Arabi Uniti, Portogallo e Stati Uniti, tra cui istituti medici, aziende di servizi IT ed enti governativi.
Gli aggressori hanno utilizzato diversi metodi per ottenere l’accesso. Oltre alla scansione di massa dei servizi e agli attacchi brute-force per le password di Outlook Web Access e dei sistemi di posta elettronica SMTP, gli operatori hanno sfruttato diverse vulnerabilità note nei software aziendali. Tra queste, problemi di sicurezza in Fortinet FortiOS , SolarWinds N-central, Citrix NetScaler, BeyondTrust e Ivanti Endpoint Manager Mobile. Separatamente, gli esperti hanno rilevato iniezioni SQL su due risorse web, tra cui la piattaforma di trading iraniana BaSalam.
Dopo essere penetrati nella rete, gli aggressori hanno implementato i propri sistemi per controllare i dispositivi infetti.
Diverse piattaforme di questo tipo sono state scoperte sul server. Una di queste, KeyC2, era scritta in Python e consentiva l’esecuzione di comandi remoti, il caricamento e il download di file e il reindirizzamento dei computer infetti ad altri server di controllo.
Uno strumento più completo, PersianC2, operava tramite HTTP e includeva un pannello di controllo con una coda di comandi, un meccanismo di caricamento file e la configurazione degli intervalli di comunicazione con i sistemi infetti.
Un framework ArenaC2 separato si camuffava da sito di notizie ArenaReport. Accedendo tramite browser, al visitatore veniva mostrata una normale pagina web, mentre i componenti dannosi comunicavano tramite richieste HTTP nascoste con crittografia AES-256.
Un altro elemento rilevato è stata la botnet Tsundere. Il suo loader PowerShell ha installato un interprete Node.js e ha lanciato uno script dannoso che ha ottenuto gli indirizzi dei server di comando e controllo tramite uno smart contract sulla rete Ethereum. Questo approccio consente l’occultamento dell’infrastruttura e la rapida modifica degli indirizzi dei server di comando e controllo.
Gli aggressori hanno trasferito i dati rubati attraverso vari mezzi. Per estrarre le informazioni, hanno utilizzato i servizi cloud Wasabi S3 e put.io, un server Amazon EC2 e il proprio server web Python. Tra i file recuperati c’erano documenti relativi a EgyptAir, tra cui copie di passaporti, informazioni sui visti, documenti finanziari, foto e video da app di messaggistica. Gli operatori hanno anche rubato file e componenti software per i sistemi di controllo degli accessi biometrici di ZKTeco.
Secondo gli autori dello studio, l’infrastruttura scoperta dimostra la portata dell’operazione MuddyWater. Il gruppo ha sfruttato simultaneamente più di una dozzina di vulnerabilità, strumenti proprietari per la gestione dei sistemi infetti e molteplici canali di estrazione delle informazioni. L’indagine è stata resa possibile da errori da parte degli operatori: directory aperte sui server, codice sorgente abbandonato e infrastruttura riutilizzata.
