I ricercatori del GReAT (Global Research and Analysis Team) di Kaspersky Lab hanno rilevato diverse infezioni causate da un Trojan prima sconosciuto che, molto probabilmente, è legato al famigerato autore di minacce di lingua cinese LuckyMouse. La caratteristica più importante di questo malware è il suo driver autonomo e firmato con un certificato digitale legittimo, rilasciato da un’azienda che sviluppa software per la sicurezza delle informazioni.
Il gruppo LuckyMouse è noto per cyberattacchi altamente targhettizzati e rivolti a grandi realtà in tutto il mondo. L’attività del gruppo rappresenta un pericolo per intere regioni, inclusa l’Asia sud-orientale e centrale; i loro attacchi, infatti, sembrano seguire l’agenda politica dei vari paesi. Avendo preso in esame il profilo delle vittime e i precedenti vettori di attacco del gruppo, i ricercatori di Kaspersky Lab ipotizzano che il Trojan da loro individuato possa essere stato utilizzato per azioni di cyberspionaggio sostenute da uno stato-nazione.
Il Trojan scoperto dagli esperti di Kaspersky Lab ha infettato un computer di destinazione attraverso un driver creato appositamente dagli autori della minaccia; questa azione ha permesso agli attaccanti di eseguire tutti i task più comuni, come l’esecuzione di comandi, il download e l’upload di file, e di intercettare il traffico di rete.
Il driver si è rivelato la parte più interessante di questa campagna. Per renderlo più affidabile, il gruppo ha apparentemente rubato un certificato digitale, che appartiene ad uno sviluppatore di software per la sicurezza delle informazioni, e l’ha utilizzato per firmare campioni di malware. Tutto questo è stato fatto nel tentativo di aggirare le capacità di rilevamento dalle soluzioni di sicurezza, dal momento che una firma legittima rende il malware simile ad un software legale.
Un’altra caratteristica degna di nota di questo driver riguarda il fatto che, nonostante LuckyMouse sia in grado di creare da sé un proprio software malevolo, il programma utilizzato in questo tipo di attacco sembrava, invece, essere il risultato di una combinazione di campioni di codice disponibili pubblicamente, provenienti da archivi pubblici e da malware personalizzati. La semplice adozione di un codice di terze parti “ready-to-use” – al posto della scrittura di un nuovo codice originale – fa risparmiare tempo agli sviluppatori e rende più difficile l’attribuzione.
“Le nuove campagne LuckyMouse avvengono quasi sempre in contemporanea con la presentazione di eventi politici di alto profilo e le tempistiche dell’attacco di solito precedono i summit dei leader mondiali. L’autore della minaccia non si preoccupa di una possibile attribuzione, dal momento che il gruppo sta implementando all’interno dei suoi programmi campioni di codice di terze parti, operazione che non richiede molto tempo e che permette di aggiungere ulteriori livelli ai loro dropper o di sviluppare una modifica per il malware, restando comunque non rintracciabile”, ha commentato Denis Legezo, Security Research di Kaspersky Lab.
Di recente Kaspersky Lab ha segnalato l’attacco da parte di LuckyMouse ad un data center a livello nazionale per l’organizzazione di una campagna di tipo “watering hole”.
Come proteggersi da questo tipo di attacchi:
• Non fidarsi in modo automatico del codice in esecuzione sui propri sistemi. I certificati digitali non garantiscono l’assenza di backdoor.
• Utilizzare una soluzione di sicurezza solida, dotata di tecnologie di rilevamento di azioni malevole basate sul comportamento, in grado di scoprire anche minacce ancora sconosciute.
• Iscrivere il team di sicurezza della propria organizzazione ad un servizio di alta qualità di reporting di intelligence delle minacce, per ottenere accesso immediato alle informazioni sugli sviluppi più recenti delle tattiche, delle tecniche e delle procedure di sofisticati autori di minacce informatiche.