TunnelSnake: scoperta campagna di attacchi col rootkit Moriya

12 Maggio 2021 Marina Londei
TunnelSnake Moriya rootkit

TunnelSnake Moriya rootkit

Si chiama TunnelSnake ed è un’operazione di cyber attacchi che sfrutta un rootkit mai visto prima, chiamato Moriya. A individuarla sono stati i ricercatori di Kaspersky, azienda di sicurezza informatica conosciuta a livello globale. Il malware ha attaccato le reti di organizzazioni diplomatiche in Asia e in Africa, e pare che sia operativo da Ottobre 2019. L’obiettivo degli attaccanti era probabilmente quello di spiare le organizzazioni, sniffare il traffico di rete e controllare l’infrastruttura per diversi mesi.

Tunnelsnake e il rootkit Moriya: l’operazione

L’attacco scoperto dai ricercatori di sicurezza è stato classificato come APT – Advanced Persistent Threat. Si tratta, come dice il nome, di un tipo di attacco mirato e persistente, volto a danneggiare un obiettivo specifico. Generalmente gli attaccanti sono gruppi o società con grandi conoscenze tecniche e risorse adatte a perpetrare l’offensiva. Anche i bersagli degli APT sono caratteristici: vista la natura degli attacchi, gli obiettivi sono per lo più di organizzazioni di alto profilo, come grandi imprese, stati o società diplomatiche. Il fine è generalmente quello di raccogliere informazioni top secret e segreti industriali/militari.

Nel caso di TunnelSnake (questo il nome dato all’operazione) le vittime sono state diverse organizzazioni diplomatiche di Africa e Asia. Dopo aver ricevuto degli alert su un rootkit unico nelle reti degli obiettivi, Kaspersky ha individuato il malware, battezzandolo Moriya. Si tratta di una backdoor passiva, in grado di sniffare il traffico di rete direzionato alla macchina infetta e filtrare invece i pacchetti. Il fatto che non sia il rootkit a iniziare per primo la comunicazione col server C&C (Command & Control) ma aspetti che arrivino i pacchetti con le istruzioni (rendendolo passivo) elimina la necessità di inserire l’indirizzo del server dell’attaccante nei file binari della backdoor, proteggendo gli hacker da eventuali tracciamenti.

L'architettura del rootkit Moriya. Fonte: SecureList
L’architettura del rootkit Moriya. Fonte: SecureList

Ispezionando il traffico di rete e filtrando i pacchetti coi comandi malevoli Moriya evade i controlli dello stack di rete del sistema operativo. Il rootkit è composto da due componenti principali: uno User Mode Agent e un Kernel Mode Driver. Il primo si occupa di deployare la componente kernel, leggere i comandi inviati dal server e rispondere ai pacchetti ricevuti. Il secondo, invece, sfrutta la Windows Filtering Platform per filtrare i pacchetti in transito, processarli e renderli disponibili allo User Mode Agent, così che questo li consumi. Il Kernel Mode Driver usa un motore di filtering creato ad-hoc per l’individuazione dei pacchetti ad esso destinati. Per infettare le prime macchine è stata utilizzata la China Chopper Webshell, usata comunemente da gruppi hacker cinesi per il controllo di web server remoti.

Attaccanti e vittime

L’uso di China Chopper e altri tool come Bouncer, Termite ed EarthWorm valorizza l’ipotesi che dietro la campagna di attacchi ci sia un gruppo cinese di cyber criminali. Pur non conoscendo l’identità degli attaccanti o l’organizzazione a cui afferiscono, Kaspersky è abbastanza confidente sulla provenienza del gruppo. Già in passato si erano verificati attacchi alle stesse società prese di mira da TunnelSnake, sempre con l’obiettivo di accedere a informazioni riservate.

L'interfaccia di China Chopper web shell. Fonte: FireEye
L’interfaccia di China Chopper web shell. Fonte: FireEye

Gli obiettivi colpiti dall’attacco sono meno di 10, ma due di queste sono importanti organizzazioni diplomatiche. Al momento Kaspersky ha eliminato il rootkit dalle macchine infette, ma l’operazione TunnelSnake potrebbe essere ancora attiva, così come Moriya, e in grado di colpire altre realtà. Sebbene le istanze di Moriya sono presenti da fine 2019, è probabile che lo stesso gruppo di attaccanti sia riuscito ad avere accesso alle stesse macchine già nel 2018, con altri tool.

Così come noi continuiamo ad attrezzarci per difenderci al meglio dagli attacchi mirati, anche i threat actor si ingegnano cambiando strategia. Osserviamo un numero sempre più alto di campagne simili a quella di TunnelSnake, dove gli attori adottano una serie di misure per rimanere nascosti il più a lungo possibil, e investono nei loro toolset rendendoli più personalizzati, complessi e difficili da rilevare. Allo stesso tempo, come è emerso dalla nostra scoperta, anche gli strumenti più sofisticati possono essere individuati e fermati. Questa è una gara senza fine tra fornitori di sicurezza e threat actor e per vincerla, la community di cybersecurity, deve continuare a lavorare insieme.

Mark Lechtik, senior security researcher del Global Research and Analysis Team di Kaspersky
Tags: , , ,