Compromissione della Supply Chain Software: Compromise Software Supply Chain (T1195.002)

Per comprendere come gli attaccanti sfruttano la supply chain, iniziamo con la creazione di un installer trojanizzato. Su Windows, possiamo manipolare un MSI esistente:

msiexec /a legitimate_app.msi /qb TARGETDIR=C:\Temp\Extracted

Una volta estratto, inserisci il payload malevolo nel percorso di installazione e ricompila il pacchetto. L'obiettivo è mantenere tutte le firme digitali apparentemente intatte mentre si aggiunge codice malevolo che verrà eseguito post-installazione.

Su Linux, la manipolazione dei pacchetti richiede un approccio diverso. Estrai un pacchetto DEB legittimo:

dpkg-deb -R legitimate_package.deb ./package_contents

Modifica gli script di post-installazione in ./package_contents/DEBIAN/postinst per includere il download e l'esecuzione del payload. Ricostruisci il pacchetto con dpkg-deb -b package_contents malicious_package.deb.

Per simulare un attacco alla catena di aggiornamento, configura un server web che ospiti gli update malevoli. Utilizza tecniche di DNS hijacking o comprometti il CDN legittimo per reindirizzare le richieste di aggiornamento:

python3 -m http.server 80 --directory /malicious_updates

Il payload dovrebbe stabilire persistenza e comunicare con il C2 utilizzando protocolli comuni. SUNSPOT ha dimostrato come inserire codice malevolo direttamente nel processo di build, monitorando i processi di compilazione e iniettando codice al momento giusto.

Per macOS, sfrutta la fiducia nei pacchetti notarizzati creando un'applicazione che superi i controlli iniziali di Gatekeeper ma contenga codice malevolo dormiente che si attiva dopo l'installazione.

La detection efficace richiede correlazione multi-evento focalizzata sulla sequenza installer→scrittura→esecuzione→connessione. Configura Sysmon per catturare gli eventi critici con questa configurazione:

Il primo indicatore chiave è l'anomalia nel processo di installazione. Monitora EventCode 1 per processi come msiexec.exe, setup.exe, o servizi di aggiornamento vendor che creano file in location non standard. La finestra temporale critica sono i primi 90 minuti post-installazione.

Implementa detection rule che correlino:

• Processo installer che scrive in Program Files (EventCode 11)
• Primo avvio del nuovo eseguibile (EventCode 1)
• Connessioni di rete verso host non approvati (EventCode 3)

Per Linux, configura auditd per monitorare syscall di scrittura in /usr/bin, /opt, e ~/.local/bin. La sequenza dpkg/rpm→write→exec→connect deve generare un alert ad alta priorità.

I falsi positivi più comuni derivano da software legittimi con updater custom. Crea una whitelist dinamica basata su:

• Publisher certificate per Windows
• GPG key per repository Linux
• Team ID per macOS

APT41 e Sandworm Team hanno dimostrato pattern specifici: cercano processi che generano shell o script interpreters subito dopo l'installazione. Alert su cmd.exe, powershell.exe, sh, o python spawned da installer recenti.

Per macOS, monitora Unified Log per anomalie di notarization e AMFI violations correlate con nuove installazioni in /Applications.

La ricostruzione forense di un attacco supply chain richiede l'identificazione del "paziente zero" - il primo sistema compromesso attraverso il software malevolo. Inizia mappando tutte le installazioni software nell'intervallo temporale sospetto.

Su Windows, esamina:

• Registry keys in HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• Event Log entries per MsiInstaller (EventID 1033/1034)
• Prefetch files per pattern di esecuzione anomali post-installazione

Il caso CCBkdr nella versione 5.33 di CCleaner mostra artefatti distintivi: file binari con timestamp manipolati e certificati digitali validi ma con hash anomali nel catalogo di firma.

Per Linux, la timeline si costruisce attraverso:

• Package manager logs in /var/log/dpkg.log o /var/log/yum.log
• Modifiche in /usr/local/bin con timestamp sospetti
• Auditd logs per execve() di binari appena installati

La campagna SolarWinds ha lasciato tracce specifiche: DLL legittime con sezioni aggiunte contenenti SUNBURST. Cerca discrepanze tra file manifest originali e binari installati.

Gli artefatti di rete sono cruciali. Estrai dal network flow:

• Connessioni verso domini non standard entro ore dall'installazione
• Pattern di beaconing periodico tipico di C2
• Download di payload secondari mascherati da update

Per GoldenSpy, l'analisi ha rivelato che il malware veniva distribuito insieme al software di preparazione fiscale legittimo, con esecuzione ritardata di 2 ore per evadere sandbox analysis.

APT29 ha ridefinito gli standard degli attacchi supply chain con SolarWinds, dimostrando pazienza strategica e capacità tecniche superiori. Il gruppo russo SVR preferisce compromettere build environment invece di singoli installer, garantendo persistenza a lungo termine.

Sandworm Team adotta un approccio più aggressivo, come dimostrato con NotPetya attraverso M.E.Doc. Target primari: infrastrutture critiche e software di contabilità in regioni geopoliticamente rilevanti. Pattern geografico: focus su Ucraina ed Europa orientale con effetti collaterali globali.

APT41 combina motivazioni finanziarie e spionaggio, compromettendo ambienti di produzione per firmare digitalmente malware. Preferenza per software utilizzati in settori finance e healthcare, con overlap di tool come SUNSPOT variations.

FIN7 si distingue per l'approccio opportunistico, compromettendo software supply chain di aziende più piccole con security posture debole. Focus su POS software e sistemi di pagamento, con campagne coordinate durante periodi di shopping intenso.

GOLD SOUTHFIELD dimostra innovazione tattica backdoorando WinRAR attraverso compromissione strategica di siti di download italiani. Pattern emergente: targeting di software di compressione e utility system largamente distribuite.

La tendenza evolutiva mostra spostamento verso "supply chain cascading" - come dimostrato da 3CX dove una compromissione ne innesca un'altra. I threat actors investono mesi nella reconnaissance di build pipeline e processi di firma digitale.

Framework MITRE ATT&CK T1195.002. Campagne documentate: SolarWinds Compromise (C0024) con attribuzione a APT29/SVR, 3CX Supply Chain Attack (C0057) collegata a UNC4736/AppleJeus. Detection patterns da DET0309 per correlazione multi-evento installer→execution→egress.