Una versione avanzata di malware che si nasconde dietro l’apparenza di un miner di criptovalute è riuscita a sfuggire alle attenzioni per oltre cinque anni, infettando almeno un milione di dispositivi in tutto il mondo nel processo; questo è quanto emerge dalle scoperte di Kaspersky, che ha dato il nome in codice alla minaccia “StripedFly”, descrivendola come un “intricato framework modulare che supporta sia Linux che Windows”.
Cosa si sa di StripedFly
Il fornitore russo di sicurezza informatica, che ha individuato per la prima volta i campioni nel 2017, ha affermato che il miner fa parte di un’entità molto più grande che utilizza una vulnerabilità personalizzata EternalBlue SMBv1 attribuita al gruppo Equation per infiltrare sistemi accessibili pubblicamente.
Il codice dannoso, consegnato tramite la vulnerabilità, ha la capacità di scaricare file binari da un repository remoto Bitbucket e di eseguire script PowerShell che supporta anche una serie di funzionalità espandibili simili a plugin per raccogliere dati sensibili e persino disinstallarsi.
Il codice shell della piattaforma è iniettato nel processo wininit.exe, un processo Windows legittimo avviato dal gestore di avvio (BOOTMGR) che gestisce l’inizializzazione di vari servizi.
“Il payload del malware stesso è strutturato come un codice binario eseguibile monolitico progettato per supportare moduli plug-in per estendere o aggiornare la sua funzionalità“, hanno affermato i ricercatori per la sicurezza Sergey Belov, Vilen Kamalov e Sergey Lozhkin in un rapporto tecnico pubblicato la scorsa settimana. “È dotato di un tunnel di rete TOR integrato per la comunicazione con i server di comando, oltre a funzionalità di aggiornamento e consegna tramite servizi fidati come GitLab, GitHub e Bitbucket, utilizzando archivi crittografati personalizzati“.
Altri notevoli moduli spia consentono di raccogliere credenziali ogni due ore, catturare screenshot sul dispositivo della vittima senza essere rilevati, registrare l’input del microfono grazie a StripedFly e avviare un proxy inverso per eseguire azioni remote.
Dopo aver ottenuto un punto d’appoggio riuscito, il malware procede a disabilitare il protocollo SMBv1 sull’host infetto e a diffondere il malware su altre macchine utilizzando un modulo di propagazione sia tramite SMB che SSH, utilizzando chiavi raccolte nei sistemi compromessi.
StripedFly ottiene persistenza modificando il Registro di sistema di Windows o creando voci nel pianificatore delle attività se l’interprete PowerShell è installato e l’accesso amministrativo è disponibile; su Linux, la persistenza viene ottenuta attraverso un servizio utente di systemd, un file .desktop avviato automaticamente o modificando i file /etc/rc*, profile, bashrc o inittab.
Viene inoltre scaricato un miner di criptovaluta Monero che sfrutta le richieste DNS su HTTPS (DoH) per risolvere i server di pool, aggiungendo uno strato aggiuntivo di stealth alle attività dannose; è stato valutato che il miner StripedFly viene utilizzato come esca per impedire al software di sicurezza di scoprire l’intera portata delle capacità del malware.
Nel tentativo di minimizzare l’impronta, i componenti del malware che possono essere scaricati sono ospitati come binari crittografati su vari servizi di hosting di repository di codice come Bitbucket, GitHub o GitLab.
Ad esempio, il repository Bitbucket operato dall’hacker dal giugno 2018 include file eseguibili in grado di servire il payload di infezione iniziale su Windows e Linux, controllare nuovi aggiornamenti e, alla fine, aggiornare il malware.
La comunicazione con il server di comando e controllo (C2), ospitato nella rete TOR, avviene utilizzando un’implementazione personalizzata e leggera di un client TOR che non si basa su metodi pubblicamente documentati.
“Il livello di dedizione dimostrato da questa funzionalità è notevole“, hanno dichiarato i ricercatori. “L’obiettivo di nascondere il server C2 a ogni costo ha guidato lo sviluppo di un progetto unico e dispendioso: la creazione del proprio client TOR“.
Un’altra caratteristica sorprendente è che questi repository agiscono come meccanismi di fallback per il malware per scaricare i file di aggiornamento quando la fonte primaria (cioè il server C2) diventa non reattiva.
Kaspersky ha inoltre scoperto una famiglia di ransomware chiamata ThunderCrypt che condivide significative sovrapposizioni di codice sorgente con StripedFly, ad eccezione del modulo di infezione SMBv1; si crede che ThunderCrypt sia stato utilizzato contro obiettivi a Taiwan nel 2017.
Le origini di StripedFly rimangono attualmente sconosciute, anche se la sofisticatezza del framework e le similitudini con EternalBlue mostrano tutti i tratti di un malintenzionato con conoscenze informatiche avanzate, con un attacco avanzato persistente (APT).
È importante notare che, mentre la pubblicazione dell’exploit EternalBlue da parte degli Shadow Brokers è avvenuta il 14 aprile 2017, la versione più antica identificata di StripedFly che incorpora EternalBlue risale a un anno prima, al 9 aprile 2016; dopo la pubblicazione, l’exploit EternalBlue è stato riutilizzato da gruppi di hacker nordcoreani e russi per diffondere il malware WannaCry e Petya.
Detto questo, ci sono anche prove che gruppi di hacker cinesi potrebbero aver avuto accesso a alcuni degli exploit del gruppo Equation prima che fossero resi disponibili online, come rivelato da Check Point nel febbraio 2021.
Le somiglianze con il malware associato al gruppo Equation, ha affermato Kaspersky, si riflettono anche nello stile di codifica e nelle pratiche simili a quelle viste in STRAITBIZARRE (SBZ), un’altra piattaforma di spionaggio cibernetico impiegata dal collettivo avversario sospettato di essere legato agli Stati Uniti.
Lo sviluppo arriva quasi due anni dopo che i ricercatori del Pangu Lab della Cina hanno dettagliato un “backdoor di primo piano” chiamato Bvp47 che sarebbe stato utilizzato dal gruppo Equation su oltre 287 obiettivi in vari settori in 45 paesi; va da sé che un aspetto cruciale della campagna che continua a essere un mistero, tranne che per coloro che hanno creato il malware, è il suo scopo reale.
“Mentre il ransomware ThunderCrypt suggerisce un motivo commerciale per i suoi autori, solleva la domanda su perché non abbiano optato per un percorso potenzialmente più redditizio“, hanno detto i ricercatori. “È difficile accettare l’idea che un malware così sofisticato e professionalmente progettato possa servire uno scopo così banale, dati tutti i dati contrari“.
