Una nuova attività malevola attribuita all’attore di minaccia Lazarus è stata identificata dai ricercatori Kaspersky. Il noto gruppo criminale operante almeno dal 2009 è stato collegato a una serie di campagne nel recente passato, tra le più note si rammentano l’Operazione Blockbuster nel 2014 e la campagna globale del famigerato ransomware WannaCry del 2017.
Il gruppo, secondo quanto riportato, sebbene dedito principalmente a prendere di mira le istituzioni finanziarie, dall’inizio del 2020 avrebbe come target preferito l’industria militare colpendo organizzazioni del settore in più di una dozzina di paesi con campagne di spionaggio e veicolanti una backdoor personalizzata, battezzata con il nome di ThreatNeedle, capace anche di diffondersi lateralmente all’interno delle reti infette, raccogliendo informazioni sensibili.
La campagna rilevata
I ricercatori sono venuti a conoscenza di questa campagna per la prima volta durante la loro attività di assistenza in risposta agli incidenti informatici, scoprendo che l’infrastruttura di rete di una dell’organizzazioni assistite era stata infettata da una tipologia di malware in grado di consentire agli attaccanti un controllo remoto completo dei dispositivi coinvolti.
Gli esperti hanno inoltre potuto avanzare delle considerazioni sulla paternità del codice malevolo costatando evidenze con una famiglia di malware nota come “Manuscrypt” riscontrata già in attacchi al mercato della criptovaluta e afferente al gruppo Lazarus.
Uno degli aspetti più interessanti di questa vicenda sarebbe stata la capacità dell’attore di minaccia di riuscire a sottrarre dati non solo dalla rete informatica con accesso diretto a Internet ma anche da quei segmenti di rete (DMZ) isolati dalla rete pubblica e dedicati a risorse critiche e alla gestione di dati altamente sensibili. Eludendo la politica di sicurezza aziendale, Lazarus è così stato in grado di ottenere il controllo delle workstation degli amministratori e quindi di impostare un gateway privilegiato per attaccare quelle parti di rete protette e circoscritte, carpendo e esfiltrando dati riservati.
La catena d’infezione
La campagna ThreatNeedle prevede una fase di diffusione iniziale tramite spear phishing con l’invio di e-mail in cui i destinatari ricevono messaggi contenenti link o allegati di file Word dannosi, spesso con riferimenti urgenti contestualizzati e relativi alla pandemia in corso.
La catena d’infezione ha inizio, procedendo con gli stadi successivi, una volta aperto il documento propinato e dato il consenso di esecuzione ad una macro malevola. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, consentendo la manipolazione dei file e l’esecuzione dei comandi ricevuti da diversi server remoti e presidiati.
Considerazioni finali
Come affermato dagli esperti del GReAT (Global Research and Analysis Team) e dell’ICS CERT (Industrial Control System Cyber Emergency Response Team), il gruppo Lazarus, altamente prolifico e estremamente sofisticato, ha rappresentato forse la minaccia del cyber crime più presente da inizio 2020. Infatti, già nel gennaio di quest’anno, anche la squadra di analisti di Google ha rilevato l’impiego della stessa backdoor contro i ricercatori di sicurezza da parte dello stesso attore incriminato e si teme che questo sia solo l’inizio. Pertanto, è importante che le organizzazioni adottino precauzioni aggiuntive contro questi tipi di attacchi avanzati, soprattutto perché, nel frattempo, continuando le varie forme di lavoro agile si estendono le superfici di attacco.
Infine, gli esperti per proteggere le organizzazioni da minacce simili a ThreatNeedle, consigliano:
- poiché molti attacchi mirati iniziano proprio con il phishing o altre tecniche di ingegneria sociale, di fornire al personale, rendendolo consapevole dei rischi, una formazione base sull’igiene della sicurezza informatica assicurando una adeguata politica di sicurezza;
- di implementare in azienda soluzioni di sicurezza, anche dedicate ai nodi e alle reti critiche, capaci di rilevare, nelle fasi iniziali, le minacce avanzate a livello di rete, consentendo un monitoraggio e una puntuale analisi del traffico di rete.
