di Antonio Lamanna
Cyberspionaggio vietnamita
Negli ultimi giorni, riempiti dall’attenzione all’attacco ransomware di Wannacry, è sfuggito un fatto importante. Il Threat Research Team di FireEye ha identificato un gruppo APT (Advanced Persisten Threat) che sta effettuando operazioni di spionistiche verso società del settore privato in diversi settori industriali, verso governi, dissidenti politici e giornalisti. Il gruppo, denominato da FireEye APT32, è stato identificato con l’OceanLotus Group, un gruppo scoperto nel 2014 da SkyEye Labs, la divisione di riecerca della società cinese Qihoo 360, che allora lo studiava per vari attacchi a agenzie governative, istituti di ricerca e aziende strategiche cinesi. Nell’analisi i ricercatori di FireEye hanno constatato l’esistenza di una suite di malware utilizzata in combinazione con servizi liberamente in commercio che il gruppo utilizza per eseguire operazioni allineate con gli interessi strategici del governo vietnamita.
I fatti sono emersi nel corso di indagini su varie società con interessi commerciali in Vietnam. Dal 2014 infatti, diversi attacchi ad aziende operanti in Vietnam nei settori della produzione, dei prodotti di consumo e della sanità hanno mostrato delle similitudini che hanno permesso di collegare tra di loro e ricondurre al gruppo ATP32 dodici casi di intrusione.
Attacchi ad aziende e governi stranieri
- Una società europea (tedesca) è stata compromessa prima di costruire un impianto di produzione in Vietnam (2014)
- Aziende vietnamite e straniere che lavorano nel campo della cyber security, delle infrastrutture tecnologiche, banche industrie dei media (2016)
- Malware rilevato nelle reti di una grande azienda di servizi ospedalieri che aveva intenzione di espandersi in Vietnam (2016)
- Due filiali di società di prodotti di consumo (Usa e Filippine), con sede in Vietnam (2016-2017)
- Uffici vietnamiti di una società di consulenza globale (2017)
- La Electronic Frontier Foundation pubblica un comunicato nel quale indica che giornalisti, dissidenti, attivisti e blogger sono stati attaccati da malware e tattiche compatibili con le operazioni di APT32 (2013)
- Un attacco di spear phishing con un allegato intitolato “Plans to crackdown on protesters at the Embassy of Vietnam.exe” (Piani per la repressione dei manifestanti presso l’ambasciata de Vietnam.exe) per colpire i dissidenti e attivisti coinvolti nella diaspora vietnamita nel sud-est asiatico (2014)
- La divisione di ricerca per la sicurezza di Qihoo 360 pubblica un rapporto dettagliato su alcuni attacchi ad agenzie governative cinesi, aziende e centri ricerca, e che rilevava l’utilizzo dello stesso malware e gli stessi obiettivi per tutti gli attacchi (2015)
- Due media del Vietnam infettati dal malware riconducibile ad APT32 (2015 e 2016)
- Altri contenuti di ingegneria sociale utilizzati dal gruppo dimostrano che il gruppo ha avuto come target i membri della diaspora vietnamita in Australia e i dipendenti governativi delle Filippine (2017)
Gli attacchi che hanno permesso di ricondurre ad uno stesso gruppo utilizzavano tecniche simili e la stessa suite di malware.
| Anno | Paese | Industria | Malware |
|---|---|---|---|
| 2014 | Vietnam | Network Security | WINDSHIELD |
| 2014 | Germania | Manifattura | WINDSHIELD |
| 2015 | Vietnam | Media | WINDSHIELD |
| 2016 | Filippine | Prodotti di consumo |
KOMPROGO WINDSHIELD SOUNDBITE BEACON |
| 2016 | Vietnam | Banking | WINDSHIELD |
| 2016 | Filippine | Tecnologia, Infrastrutture | WINDSHIELD |
| 2016 | Cina | Ospedaliero | WINDSHIELD |
| 2016 | Vietnam | Media | WINDSHIELD |
| 2016 | Stati Uniti | Prodotti di consumo |
PHOREAL WINDSHIELD SOUNDBITE BEACON |
Il governo vietnamita ha respinto l’ipotesi di ogni coinvolgimento con i fatti.
“Il governo del Vietnam non consente alcuna forma di attacchi informatici contro organizzazioni o individui”, ha dichiarato la portavoce del ministero degli Esteri Le Thi Thu Hang a Reuters. “Tutti gli attacchi informatici o le minacce alla sicurezza informatica devono essere condannati e puniti seriamente in conformità alle normative e alle leggi”.
Tattiche del gruppo APT32
La tattica principale utilizzata dal gruppo è l’email phishing, ovvero l’inganno dell’utente attraverso l’invio di email apparentemente inviate da un destinatario fidato che contengono allegati o script dannosi in grado di scaricare eseguibili sul dispositivo utilizzato per visualizzare la email. Gli allegati contengono delle macro di Microsoft che sfruttano i file ActiveMime. Gli attacchi risultano estremamente personalizzati e specifici per ogni vittima tenendo cura anche della traduzione nelle diverse lingue. Gli allegati sono file con estensione .doc, ma da un’analisi più approfondita sono risultati dei file .mht. Un file con estensione .mht è un formato di archiviazione delle pagine web che salva immagini, testo e oggetti da un documento word originale in un unico file. Utilizzando Microsoft Word 2007 è possibile convertire un documento Word o un a pagina web in un file formato .mht. All’interno del file .mht, che nel browser ha l’aspetto di un allegato in formato .doc, si trovano i dati ActiveMime codificati in Base64 che contengono un file OLE con macro dannose. Nel testo della mail poi, ci sono dei falsi messaggi di errore che inducono l’utente ad abilitare la visualizzazione del contenuto (Google in genere blocca immagini nelle email da indirizzi non conosciuti).
Figura 1. Esempio errore falso nella mail di phishing. Fonte: FireEye
Oltre all’efficace tecnica per indurre l’utente ad abilitare la visualizzazione del contenuto della mail e dunque a scaricare ed eseguire il malware, il gruppo ha anche implementato diverse tecniche per monitorare l’efficacia degli attacchi, tra cui l’utilizzo di alcuni servizi commerciali legali utilizzati per l’email marketing, e tecniche per aggiornare dinamicamente le backdoor nelle macchine infette. In alcuni casi invece delle email APT32 ha utilizzato spazio cloud commerciale.
Una volta aperto l’allegato infetto le macro malevole lanciano due operazioni sul Pc, entrambe aprono delle backdoor, una per le operazioni vere e proprie e l’altra come backup.
Figura 2.Nel fil eactiveMime. Creazione delle due attività per aprire le backdoor. Fonte: FireEye
Strumenti di APT32
Le operazioni del gruppo sono caratterizzate dall’utilizzo di una suite di malware ricca e personalizzata, tra cui WINDSHIELD, KOMPROGO, SOUNDBITE e PHOREAL, utilizzati spesso in combinazione con Cobalt Strike BEACON, una backdoor commerciale per il penetration testing.
- Command and control (C2) communications via TCP raw sockets
- Four configured C2s and six configured ports – randomly-chosen C2/port for communications
- Registry manipulation
- Get the current module’s file name
- Gather system information including registry values, user name, computer name, and current code page
- File system interaction including directory creation, file deletion, reading, and writing files
- Load additional modules and execute code
- Terminate processes
- Anti-disassembly
- Fully-featured backdoor capable of process, file, and registry management
- Creating a reverse shell
- File transfers
- Running WMI queries
- Retrieving information about the infected system
- C2 communications via DNS
- Process creation
- File upload
- Shell command execution
- File and directory enumeration/manipulation
- Window enumeration
- Registry manipulation
- System information gathering
- C2 communications via ICMP
- Reverse shell creation
- Filesystem manipulation
- Registry manipulation
- Process creation
- File upload
- Publicly available payload that can inject and execute arbitrary code into processes
- Impersonating the security context of users
- Importing Kerberos tickets
- Uploading and downloading files
- Executing shell commands
- Configured with malleable C2 profiles to blend in with normal network traffic
- Co-deployment and interoperability with Metasploit framework
- SMB Named Pipe in-memory backdoor payload that enables peer-to-peer C2 and pivoting over SMB
Analisi
Con la ricerca di FireEye, il Vietnam entra per la prima volta nella lista degli Stati che utilizzano il cyberspionaggio in modo così efficiente, e la prima volta che FireEye assegna l’etichetta APT ad un gruppo che non appartenga a Russia o Cina. Anche se le dichiarazioni ufficiali del Governo vietnamita smentiscono una collaborazione col gruppo, APT32 resta in ogni caso un gruppo di cyber spionaggio allineato agli interessi del Vietnam. Oltre a rappresentare un chiaro rischio per aziende straniere con interessi nel Paese, il gruppo ritrae anche una situazione di forte controllo interno e repressione del dissenso antigovernativo. Il caso del cyberspionaggio vietnamita mette in risalto tre elementi importanti:
- L’importanza strategica della presenza dello Stato nel cyberspazio per il controllo interno, che tuttavia senza un controllo da parte di altri organi dello Stato rischia di creare una generalizzata situazione di repressione del dissenso interno, antidemocratica e socialmente rischiosa. Presenza importante anche per veicolare il discorso nazionale nella popolazione e nella propria sfera d’influenza digitale.
- La tendenza degli Stati in via di sviluppo ancora non concorrenziali nel mercato mondiale di dotarsi di capacità tecnologiche per agire nel cyberspazio con l’intento di colmare il gap socio-economico con i Paesi industrializzati attraverso tecniche di cyberspionaggio, economiche ed efficaci.
- La necessità di arrivare ad un punto di convergenza a livello internazionale per regolare non lo spionaggio, ma le azioni condotte dagli Stati nel cyberspazio che travalicano l’obiettivo della protezione dell’Interesse Nazionale.
