Scoprire un nuovo APT (Minaccia Avanzata Persistente) non è una cosa facile, non tanto per la capacità elusiva della singola attività, ma quanto per la difficoltà di correlare le attività di minaccia e associarle ad un’unica organizzazione. Si tratta di comprendere le TTP (Tattiche, Tecniche e Procedure) che la minaccia adotta e legarle come un filo rosso nelle differenti tracce di attività rilevate.
È così che una minaccia persistente possa agire indisturbata per mesi o per anni prima che possa essere individuata e seguita nelle sue attività fino al punto di poterne contrastare le capacità offensive.
Recentemente i SentinelLabs di SentinetOne hanno potuto chiudere il cerchio delle ricerche ed individuare come tutta una serie di attività, che da un decennio imperversano in differenti paesi del sud-est asiatico (Cambogia, Singapore, Vietnam e Hong Kong), ma anche in Australia, fossero legate ad un'unica entità. Questo gruppo di minaccia ha preso di mira per tutto questo lungo periodo organizzazioni governative, educative, e di telecomunicazioni essenzialmente con finalità di spionaggi o.
Il gruppo è stato definito Aoqin Dragon, e molto probabilmente è costituito da un piccolo team in lingua cinese con una sua articolata strategia di infezione.
Questa strategia si è basata su un primo accesso ottenuto mediante abuso di documenti inviati alle vittime e generalmente basati su vulnerabilità storiche ma efficaci come CVE-2012-0158 (che consente l’esecuzione di codice arbitrario attraverso siti, documenti office o documenti RTF appositamente costituiti) e la CVE-2010-3333 (un buffer overflow per differenti versioni di Office fino a 2010 attraverso documenti RTF appositamente costituiti).
Ricordate la scomparsa del volo Malaysia Airlines MH370? Ebbene in quel periodo l’attenzione mediatica, la curiosità sull’argomento (specie in quella parte del mondo) è stata come vento in poppa per veicolare gli strumenti di attacco di questo agente di minaccia verso le potenziali vittime, affamate di informazioni su tale evento: un’esca perfetta, anche perché in quel periodo il formato RTF era comunemente utilizzato.
Un altro espediente escogitato da questo agente di minaccia è stato quello di distribuire eseguibili con icone che falsificando la provenienza del software e spacciandoli quindi per prodotti di noti fornitori di antivirus. Questo ha stimolato l’interesse e la confidenza della vittima sulla legittimità del software e dunque la “sicurezza” nel loro utilizzo. La cosa, in combinazione con contenuti email interessanti, nomi accattivanti e altri strumenti di ingegneria sociale, ha potuto consentire facilmente la distribuzione del vero e proprio software malevolo (droppato, come si dice, dal software civetta) che tipicamente assumeva la forma di backdoor o spyware.
Un altro trucco è stato quello di creare un file di collegamento ad un dispositivo rimovibile che, invece di consentire l’accesso a tale dispositivo, era in realtà il percorso per l’avvio del malware. Per il processo di attivazione del malware stesso si è operato con un’altrettanta nota tecnica, quella del DLL hijacking.
Insomma in più di un decennio questo gruppo di minaccia ha più volte cambiato ed evoluto le sue TTP proprio per occultare la propria attività. La sua finalità è stata da subito lo spionaggio e ci si aspetta che prospetticamente questo continuerà ad essere il modo d’azione del gruppo per lungo tempo.
Quante altre minacce apparentemente non coordinate sono in realtà frutto di una medesima mano occulta ben organizzata?
Solo ulteriori indagini potranno scoprirlo in futuro. Speriamo.
