Capita molto spesso che gli hacker si muovano all’interno delle organizzazioni anche per lunghi periodi di tempo, senza che queste se ne accorgano. Recentemente, una società energetica europea ha iniziato a usare l’IA per la propria difesa informatica, e ha realizzato che il cybercriminale stava già operando indisturbato al suo interno.
L’hacker aveva compromesso un pc desktop tramite una connessione Command & Control e scaricato file eseguibili mascherati da innocui file PNG. Darktrace è stata in grado di analizzare autonomamente il pc catalogandolo nel gruppo dei dispositivi simili (“peer group”) e riconoscendo che il suo comportamento era anomalo rispetto al resto del gruppo. Una volta installata, infatti, la cyber AI ha subito iniziato a monitorare il comportamento di circa 5.000 dispositivi, stabilendo il loro “modello di vita”, così come quello dei peer group e del resto dell’organizzazione. Dopo appena due ore, ha rilevato che il desktop pc di un amministratore effettuava connessioni sospette a più domini ospitati su IP 78.142.XX.XXX. La regolarità di queste connessioni suggeriva che l’infezione era già stata stabilita da tempo sul dispositivo.
Durante l’intrusione, l’hacker aveva utilizzato molte tecniche di evasione comuni per aggirare gli strumenti di difesa tradizionali, tra cui le “Living off the Land” (strategie di attacco che fanno uso di tool già presenti nativamente nel sistema operativo del computer, dunque senza l’aggiunta di alcun codice malevolo creato ad hoc) e malware nascosti all’interno di tipologie di file comunemente usati.
Il giorno successivo all’installazione, il sistema ha rilevato inoltre che il pc stava scaricando un file eseguibile sospetto chiamato d.png, e successivamente si sono verificati diversi download simili. I file eseguibili si mascherano spesso sotto forma di altri tipi di file di uso comune per bypassare le misure di sicurezza, tuttavia l’estensione del file non corrispondente è stata immediatamente rilevata da Darktrace e segnalata affinché venissero svolte ulteriori indagini. Una successiva analisi di questi file apparentemente innocui ha suggerito che fosse in corso un accesso da remoto al dispositivo compromesso attraverso l’uso del framework Metasploit.
Analisi dell’attacco
Figura 1: Cronologia dell’attacco
Il mancato utilizzo delle tecniche di OSINT per la fonte del download ha fatto sì che le altre misure di sicurezza non rilevassero le connessioni HTTP sospette. Tuttavia, la rarità dell’IP presente sulla rete, insieme al comportamento insolito del pc rispetto agli altri dispositivi, hanno fatto sì che Darktrace intercettasse rapidamente il beaconing dannoso.
Analizzare in profondità il dispositivo infetto
Dopo avere individuato la prima violazione, Darktrace ha continuato a monitorare il dispositivo, rappresentando graficamente le connessioni regolari che avvenivano con l’endpoint maligno w.gemlab[.]top. Il pc, infatti, continuava ad effettuare connessioni continue a questo endpoint a intervalli precisi di 3 ore, suggerendo che fosse in corso una attività automatizzata. Nessun altro dispositivo del gruppo mostrava questo tipo di comportamento.
Figura 2: Darktrace ha rappresentato le connessioni all’interno di un grafico.
Le violazioni sono rappresentate dai punti arancioni.
Darktrace ha rilevato la natura sospetta di queste connessioni HTTP, facendo emergere chiaramente la violazione del modello affinché il team di sicurezza potesse esaminarla e risanare la situazione.
Figura 3: Darktrace mostra I dettagli del modello di attacco
Se l’hacker è già penetrato nei sistemi, l’autoapprendimento è la via
Quello che si è verificato durante questo particolare attacco è un tentativo sofisticato di mimetizzarsi all’interno del “rumore di fondo” del traffico dati regolare di una organizzazione. Senza promuovere analisi e lanciare allarmi in tempo reale, oltre a poter avviare una risposta rapida da parte del team di sicurezza per contenere la minaccia, le potenziali ramificazioni e le conseguenze nocive di questa intrusione non si possono arginare e per questo, molto spesso, i cybercriminali sono riusciti a attaccare intere reti energetiche causando, ad esempio, il blackout di massa in Ucraina e in Estonia.
Non è la prima volta che Darktrace identifica hacker già presenti negli ambienti dei clienti, e sicuramente non sarà l’ultima. Tale situazione, sempre più diffusa, rende l’approccio di autoapprendimento alla difesa informatica fondamentale, poiché questo non si limita infatti a identificare solo i cambiamenti nell’ambiente, ma è in grado di individuare, insieme agli attacchi nuovi e avanzati che eludono le regole e le firme tradizionali, anche le manomissioni già esistenti.
Max Heinemeyer, Director of Threat Hunting di Darktrace
