Ritorna il gruppo di cyberspionaggio le cui origini sono ancora un mistero.

Cybercrime

Nel 2013, un gruppo di hacker noto a Kaspersky Lab come “Wild Neutron” (conosciuto anche come “Jripbot” e “Morpho”), ha attaccato diverse aziende di alto profilo tra cui Apple, Facebook, Twitter e Microsoft. A seguito dell’enorme pubblicità fatta a questo attacco il gruppo criminale ha interrotto la propria attività per quasi un anno per poi riprendere verso la fine del 2013 e continuare fino al 2015. Il gruppo utilizza un certificato di verifica di validità del codice rubato e un sconosciuto exploit Flash Player per infettare aziende e utenti privati di tutto il mondo e rubare informazioni aziendali sensibili.

I ricercatori sono riusciti ad identificare le aziende obiettivo di Wild Neutron situate in 11 paesi diversi tra cui Francia, Russia, Svizzera, Germania, Austria, Palestina, Slovenia, Kazakistan, Emirati Arabi Uniti, Algeria e Stati Uniti. Tra le aziende:

  • Studi Legali
  • Aziende che operano in ambito Bitcoin
  • Società di investimento
  • I grandi gruppi di imprese spesso coinvolte in operazioni di M&A
  • Aziende IT
  • Aziende sanitarie
  • Società immobiliari
  • Utenti privati

Gli obiettivi degli attacchi indicano che non si tratta di gruppi criminali sponsorizzati da uno stato-nazione. Tuttavia, l’utilizzo di zero-day e malware multi-piattaforma, così come l’utilizzo di altre tecniche ha fatto pensare che si potesse trattare di un’organizzazione molto potente che si occupa di spionaggio probabilmente per motivi economici. L’origine dei criminali rimane però un mistero. In alcuni sample, la configurazione criptata comprende la stringa “La revedere” (“arrivederci” in romeno) per sottolineare la fine delle comunicazioni C&C. Inoltre, i ricercatori di Kaspersky Lab hanno trovato un’altra stringa non in lingua inglese: si tratta della trascrizione in caratteri latini della parola russa “Успешно” (“uspeshno” -> “con successo).

L’attacco

Il vettore iniziale dell’infezione dei recenti attacchi è ancora sconosciuto, anche se esistono chiare indicazioni che le vittime sono state infettate attraverso un kit che sfrutta un exploit Flash Player sconosciuto e inviato attraverso siti web compromessi. L’exploit fornisce un malware dropper package alla vittima.

Negli attacchi osservati, il dropper è stato firmato con un certificato di verifica del codice legittimo. L’utilizzo dei certificati consente al malware di evitare il rilevamento da parte di alcune soluzioni di protezione. Inoltre, il certificato utilizzato negli attacchi Wild Neutron sembra rubato da un produttore di elettronica di consumo molto noto. Il certificato è stato revocato.

Una volta entrato nel sistema, il dropper installa la backdoor principale.

In termini di funzionalità, la backdoor principale non è molto diversa da molti altri strumenti di accesso da remoto (Remote Access Tools, RATs). La particolarità principale è l’attenzione del criminale nel nascondere l’indirizzo del server di comando e controllo (C&C) e la sua capacità di riattivarsi in seguito all’arresto del C&C. Il server di comando e controllo è una parte importante di questa infrastruttura nociva in quanto funge da “casa madre” per il malware introdotto sul dispositivo della vittima.