I ricercatori di Kaspersky Lab e del Kings College London, durante un’indagine volta a trovare un legame tra un gruppo criminale moderno e gli attacchi di Moonlight Maze – che, alla fine degli anni ’90, hanno colpito il Pentagono, la NASA e altri obiettivi – hanno scoperto campioni, log e artefatti che appartengono all’antica APT. Le scoperte mostrano che una backdoor usata nel 1998 da Moonlight Maze per estrarre informazioni dalla rete colpita potrebbe essere collegata a una backdoor usata da Turla nel 2011 e, verosimilmente, persino nel 2017. Se questo legame venisse provato, Moonlight Maze raggiungerebbe in termini di longevità Equation Group, i cui server di comando e controllo, in alcuni casi, risalgono al 1996.
Il nuovo report su Moonlight Maze mostra come, a partire dal 1996, le reti militari e governative americane, oltre a università, istituti di ricerca e persino il Dipartimento dell’Energia, abbiano iniziato a scoprire vulnerabilità nei loro sistemi. Nel 1998 l’FBI e il Dipartimento della Difesa lanciarono un’imponente indagine e nel 1999 la storia diventò di pubblico dominio, sebbene la maggior parte delle prove rimase segretata, lasciando i dettagli di Moonlight Maze avvolti dalla segretezza e dal mito.
Negli anni, gli investigatori di tre diversi Paesi hanno dichiarato che Moonlight Maze si è evoluto in Turla, un gruppo criminale di lingua russa conosciuto anche come Snake, Uroburos, Venomous Bear e Krypton, convenzionalmente considerato attivo dal 2007.
I “sample nell’armadio”
Nel 2016, mentre realizzava il suo libro, Rise of the Machines, Thomas Rid del Kings College London è risalito a un ex amministratore di sistema il cui server aziendale era stato sfruttato come proxy dai criminali di Moonlight Maze. Questo server, “HRTest”, era stato utilizzato per lanciare attacchi negli Stati Uniti. Il professionista IT, ormai in pensione, aveva conservato il server originale e le copie di tutto ciò che era legato agli attacchi e ha scelto di consegnarli al Kings College e a Kaspersky Lab per ulteriori analisi.
I ricercatori di Kaspersky Lab, Juan Andres Guerrero-Saade e Costin Raiu, insieme a Thomas Rid e Danny Moore del Kings College, hanno trascorso nove mesi analizzando in modo dettagliato questi sample, riuscendo a ricostruire le attività, i tool e le tecniche dei cyber criminali. Hanno inoltre condotto un’indagine parallela nel tentativo di provare il legame di questo gruppo con Turla.
Gli attacchi open-source basati su Unix di Moonlight Maze prendevano di mira i sistemi Solaris e, secondo i risultati dell’indagine, usavano una backdoor basata su LOKI2 (un programma rilasciato nel 1996 che permette agli utenti di estrarre dati attraverso canali segreti). Questo ha portato i ricercatori a riesaminare alcuni rari sample Linux usati da Turla che Kaspersky Lab aveva scoperto nel 2014. Chiamati Penquin Turla, anche questi campioni sono basati su LOKI2. Inoltre, la nuova analisi ha mostrato che tutti usano un codice creato tra il 1999 e il 2004.
Sorprendentemente, questo codice viene ancora utilizzato negli attacchi. È stato trovato in the wild nel 2011, quando è stato scoperto in un attacco all’azienda tecnologica RUAG, in Svizzera, attribuito a Turla. A marzo 2017, i ricercatori di Kaspersky Lab hanno scoperto un nuovo sample della backdoor Penquin Turla diffusa da un sistema situato in Germania. È possibile che Turla utilizzi il vecchio codice per attacchi a entità estremamente sicure che potrebbero essere più difficili da violare usando i più tradizionali tool Windows.
“Alla fine degli anni ’90, nessuno poteva prevedere la diffusione e persistenza di una campagna coordinata di cyber spionaggio. Ci dobbiamo chiedere come mai i criminali siano ancora in grado di sfruttare con successo vecchi codici negli attacchi di oggi. L’analisi dei sample di Moonlight Maze non è solo un affascinante studio archeologico; è anche un promemoria che ci ricorda che gli avversari dotati di risorse adeguate non scompariranno, tocca a noi difendere i sistemi con le giuste competenze”, ha commentato Juan Andres Guerrero-Saade, Senior Security Researcher del Global Research and Analysis Team di Kaspersky Lab.
