Scenari di guerra informatica fra Usa e Russia: dal 2016 infrastrutture americane sotto l’attacco di Mosca. Abbiamo letto l’informativa diffusa il 15 marzo del Dipartimento per la Sicurezza Nazionale.
La guerra informatica fra Usa e Russia fa un salto di livello. Vi proponiamo una sintesi dell’allarme tecnico diffuso il 15 marzo da US-CERT, relativo alla campagna di cyberwarfare condotta dalla Russa ai danni degli Stati Uniti a partire dal 2016. Nel rapporto, piuttosto dettagliato, si tratteggia un quadro inquietante. Ci troviamo di fronte a un’operazione di guerra informatica condotta su vasta scala per diversi mesi, con l’obiettivo primario di colpire la rete energetica USA. I danni causati alle infrastrutture americane sono, almeno in termini economici, assai rilevanti.
Il documento di US-CERT (organismo che opera in seno al Dipartimento per la Sicurezza Nazionale) parla di una minaccia concreta, capace di colpire settori critici come quelli dell’energia atomica e dell’approvvigionamento idrico. Il rapporto evidenzia poi due fatti: il primo è che l’attacco è stato sicuramente originato da Mosca; il secondo è che si è trattato di un’operazione di guerra informatica deliberata e altamente coordinata, una campagna di intrusione a più livelli, con l’obiettivo iniziale di raccogliere informazioni sui sistemi di gestione informatica nella rete energetica degli Stati Uniti.
I pirati informatici hanno dapprima preso di mira le LAN di piccole strutture commerciali attraverso operazioni di spear phishing, ossia con l’uso di e-mail fraudolente. Da queste, tramite l’impiego di malware, hanno ottenuto l’accesso remoto alle reti del settore energetico. In un secondo tempo le cyberspie russe hanno condotto una serie ricognizioni lungo tutte le reti telematiche Usa, spostandosi da un punto all’altro con lo scopo di raccogliere informazioni relative ai sistemi di controllo industriale americani. Tali operazioni di guerra informatica sono durate per quasi due anni.
Come è stata analizzata la minaccia
Per descrivere le attività di cyberwarfare condotte dalla Russia, il documento di US-CERT utilizza il modello Lockheed-Martin Cyber Kill Chain. L’attacco informatico è rappresentato attraverso la sua scomposizione in una serie di fasi in sequenza cronologica: perlustrazione («reconnaissance»), armamento («weaponization»), rilascio («delivery»), utilizzo («exploitation»), installazione («installation»), comando e controllo («command and control») e azioni sull’obiettivo («actions on the objective»).
Perlustrazione
Nella fase di perlustrazione gli attori delle minacce hanno scelto le organizzazioni da prendere di mira. I cyberpirati hanno reperito informazioni sulle reti delle organizzazioni target e sui loro sistemi di protezione. Si tratta di una tattica di uso comune nei casi di spear-phishing. Informazioni pubblicate sui siti web aziendali, in particolare quelle che sembrano innocue, possono contenere spunti molto utili dal punto di vista dei malintenzionati.
Armamento
Successivamente – fase di armamento – gli autori degli attacchi hanno condotto una campagna di spear-phishing, ossia hanno fatto uso di allegati di posta elettronica per impossessarsi di documenti presenti negli ambienti delle organizzazioni target. A tale scopo è stata sfruttata una vulnerabilità di Server Message Block su Windows, nota come Redirect to SMB. Il protocollo SMB, caratteristico di Microsoft Windows ma presente anche in altri sistemi operativi, permette di condividere file, stampanti, porte seriali e altro tra diversi nodi di una rete.
La vulnerabilità, scoperta da Cylance nel 2015, è legata al fatto che il software eseguito su Windows via richieste HTTP (per esempio, Microsoft Word) può essere inoltrato a un protocollo file:// di un server remoto con intenzioni dolose. Ciò fa sì che Windows tenti in modo automatico l’autenticazione tramite SMB al server stesso. Di conseguenza, la forma criptata delle credenziali dell’utente viene registrata su tale server. In pratica, una volta aperti, gli allegati di posta elettronica inoltrano richieste del tipo file[:]//<remote IP address>/Normal.dotm. Queste determinano l’autenticazione del client con il server e l’invio dell’hash delle credenziali dell’utente al server remoto. Una volta ottenuto l’hash, gli attori delle minacce possono utilizzare tecniche di password-cracking per recuperare la password di accesso e dunque riescono ad agire come utenti autorizzati.
A questo punto l’attacco è proseguito con la tecnica del watering hole. Essa consiste nell’infettare un certo servizio o sito web e aspettare che i bersagli designati rimangano contagiati dal malware, nel momento in cui accedono a tale servizio o sito. In particolare, i cyberpirati hanno modificato i file JavaScript e PHP che eseguono richieste di icone di file di alcuni siti web comunemente frequentati dalle vittime, utilizzando il protocollo SMB da un indirizzo IP sotto il loro controllo.
Rilascio
La fase di rilascio è consistita in un’ulteriore operazione di spear-phishing. Agli obiettivi identificati è stata recapitata una e-mail avente per oggetto “AGREEMENT & Confidential” e contenente un file PDF denominato “document.pdf. Il documento conteneva a sua volta un URL abbreviato che portava gli utenti a un sito web. Qui all’utente stesso erano richiesi indirizzo e-mail e password.
Utilizzo
Nella cosiddetta fase di utilizzo gli attori delle minacce hanno utilizzato file .docx dannosi per acquisire le credenziali degli utenti. Come delle fasi precedenti, tali documenti .docx hanno permesso ai criminali informatici di impossessarsi di altri file tramite una connessione “file://” su SMB, attraverso le porte 445 o 139 del protocollo TCP.
Installazione
A questo punto – e siamo alla fase di installazione della guerra informatica – gli attaccanti hanno creato account di amministratori locali all’interno di obiettivi raggiunti e hanno collocato file dannosi all’interno dei target previsti. L’espediente è stato anche in questo caso semplice: l’attivazione di uno script denominato “symantec_help.jsp”, il quale conteneva il riferimento a una riga di un ulteriore script, progettato per creare account di amministratore locale e manipolare il firewall per l’accesso remoto.
Comando e controllo
È chiaro che, insediatisi come amministratori, i cyberattaccanti hanno avuto vita facile: sono stati creati task per tenere lontani nuovi account, quindi installati strumenti come FortiClient, utilizzato probabilmente come client VPN, infine depositati ed eseguiti strumenti open source di password cracking come Hydra, SecretsDump e CrackMapExec. Ed è così che si è giunti alla fase conclusiva del cyberattacco, quella di comando e controllo.
A che cosa miravano i pirati informatici?
Il documento di US-CERT illustra gli obiettivi perseguiti dagli attori della guerra informatica, una volta preso il controllo dei sistemi target. In molti casi i pirati hanno avuto accesso ai server di LAN contenenti dati provenienti da sistemi di controllo all’interno di impianti energetici. In particolare, sono stati violati i file relativi alle chiamate di sistema o ai sistemi di controllo di supervisione e di acquisizione dati (SCADA). Questi file contenevano i nomi dei fornitori delle aziende violate e i documenti di riferimento ICS relativi all’organizzazione (ad esempio, “SCADA WIRING DIAGRAM.pdf” o “SCADA PANEL LAYOUTS.xlsx”).
Tutte le informazioni di profilo e di configurazione per accedere ai sistemi SCI in rete sono state copiate, così come i profili di Virtual Network Connection (VNC) contenenti informazioni di configurazione sull’accesso ai sistemi ICS. Ecco, per esempio, una delle interfacce a cui hanno avuto accesso gli attori dell’attacco.
