Nell’ottobre 2014, ricercatori di Kaspersky Lab hanno rilevato un campione di un malware mai visto prima, diverso da tutti per la sua complessità. Ulteriori analisi hanno mostrato che quel campione era solo parte di una campagna di spionaggio informatico più ampia e sofisticata. L’elenco delle società colpite comprende organizzazioni governative, aziende dell’industria pesante, finanza, chimica, di satelliti, media, istruzione, aziende mediche, alimentari ecc. Secondo quanto emerge dalla ricerca questa campagna è stata attiva per due anni.
Diverse tecniche di infezione
Gli esponenti di Blue Termite usano molte tecniche per infettare le loro vittime. Nel periodo antecedente a luglio 2015 facevano uso di email di spear-phishing con le quali inviavano software infetti in allegato con un contenuto che poteva attirare la vittima. A luglio hanno, invece, cambiato tattica ed hanno cominciato a diffondere malware attraverso exploit zero-day Flash (CVE-2015-5119, cioè l’exploit emerso quest’estate con il caso Hacking Team). Gli aggressori hanno compromesso diversi siti giapponesi utilizzando quella che viene definita la tecnica drive-by-download che fa si che i visitatori vengano infettati scaricando automaticamente l’exploit una volta che giungono sul sito web.
L’implementazione di un exploit zero-day ha portato a metà luglio ad un picco significativo nel livello di infezioni monitorato dai sistemi di rilevamento di Kaspersky Lab.
Gli aggressori hanno anche provato a profilare le vittime registrate. Uno dei siti compromessi apparteneva ad un importante membro del governo Giapponese; un altro conteneva uno script dannoso che permetteva di escludere tutti i visitatori in base all’IP fatta eccezione per quello di una specifica organizzazione giapponese. In altre parole, solo alcuni utenti selezionati hanno ricevuto il payload infetto.
Malware esclusivi e dettagli linguistici
Dopo che l’infezione ha avuto successo, viene implementata una complessa backdoor su una specifica macchina. La backdoor è in grado di rubare password, scaricare ed eseguire ulteriori payload, recuperare file ecc. La cosa più interessante del malware utilizzato da Blue Termite è che a ogni vittima viene fornito un campione unico di malware, fatto in modo da poter essere lanciato solo sul quel PC specifico, individuato da Blue Termite. Secondo i ricercatori di Kaspersky Lab, questo meccanismo è stato studiato proprio per rendere difficile ai ricercatori l’analisi del malware e la sua scoperta.
Resta sconosciuta l’identità di chi sta dietro questo attacco: l’attribuzione è sempre un compito complicatissimo soprattutto quando si tratta di attacchi informatici sofisticati. Tuttavia, i ricercatori di Kaspersky Lab sono stati in grado di raccogliere alcuni elementi linguistici. In particolare, la graphic user interface del Command and Control server così come alcuni documenti tecnici relative al malware utilizzato nell’operazione Blue Termite sono scritti in cinese. Ciò fa intendere che chi sta dietro questa operazione parli questa lingua.
Non appena i ricercatori di Kaspersky Lab hanno raccolto le informazioni sufficienti a definire Blue Termite come una campagna di cyber-spionaggio contro organizzazioni giapponesi, i rappresentanti dell’azienda ne hanno informato le forze dell’ordine locali. L’operazione Blue Termite è ancora in corso; di conseguenza lo è anche l’indagine di Kaspersky Lab.
