Obstinate Mogwai attacca una Telco Russa. Ha usato una Deserialization di .NET vecchia di 10 anni

Gli specialisti del centro di ricerca sulle minacce informatiche Solar 4RAYS del gruppo Solar riferiscono di aver bloccato l’attività di spionaggio del gruppo Obstinate Mogwai APT nell’infrastruttura di un operatore di telecomunicazioni russo senza nome. Nell’attacco gli hacker hanno sfruttato una vecchia vulnerabilità di deserializzazione, ma non del tutto risolta, nel parametro ViewState (che controlla lo stato delle pagine web nel framework ASP.NET sviluppato da Microsoft).

La vulnerabilità consente di eseguire qualsiasi azione sul sistema attaccato, su un server di posta elettronica Microsoft Exchange o su una pagina Web basata su ASP.NET. I ricercatori sottolineano che il funzionamento stesso non è facile da individuare e che la tecnica di risposta non è stata precedentemente descritta nelle comunità specializzate.

Il problema con il parametro ViewState è noto dal 2014. In effetti, consente agli aggressori di eseguire codice arbitrario su un sistema e successivamente di rubare, manomettere o corrompere i dati.

L’indagine è iniziata dopo che le misure di sicurezza hanno rilevato attività sospette sull’infrastruttura di una società di telecomunicazioni anonima. Si è scoperto che a questo punto gli aggressori avevano già creato un “trampolino di lancio” per rubare i dati riservati dell’azienda stessa e dei suoi clienti.

Gli esperti scrivono di aver trovato più volte strumenti di raggruppamento dannosi nella rete attaccata e di averli rimossi. Tuttavia, dopo un po’ di tempo, gli hacker criminali tornarono finché non furono loro completamente circoscritti. Per la loro tenacia, i ricercatori hanno chiamato questo gruppo di hacker Obstinate Mogwai (“Demone testardo”) e promettono di pubblicare in futuro un rapporto dettagliato di questi hacker.

Per penetrare nella rete, gli hacker hanno sfruttato una vulnerabilità di deserializzazione dei dati non attendibili nel parametro ASP.NET ViewState. La serializzazione è il processo di conversione dello stato di un oggetto in una forma adatta per l’archiviazione o la trasmissione, mentre la deserializzazione è il processo di riconversione dei dati in un oggetto.

Ciò è necessario per ottimizzare le applicazioni (ad esempio, quando interagiscono tra loro). Tuttavia, questi processi spesso contengono vulnerabilità che consentono agli aggressori di modificare i dati ed eseguire codice arbitrario quando deserializzati.

La vulnerabilità è stata parzialmente risolta nel 2014. Successivamente Microsoft, che sviluppa la piattaforma ASP.NET, ha aggiunto al suo framework un meccanismo di convalida dei dati MAC durante la deserializzazione. Tuttavia, è risultato che gli aggressori possono aggirare questo meccanismo se conoscono le chiavi di convalida ViewState.

Per ottenere le chiavi, è necessario hackerare il server IIS oppure accedervi hackerando altre parti della rete dell’organizzazione. Forse rendendosi conto della difficoltà di sfruttare la vulnerabilità, il produttore l’ha lasciata nello stato Won’t Fix (non verrà riparata). Tuttavia, la pratica ha dimostrato che tali attacchi mirati sono abbastanza reali: oggi nel mondo sono noti almeno otto casi simili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.