Di recente, diversi importanti fornitori di infrastrutture in Africa e nel Medio Oriente si sono imbattuti in un attore di minacce che superava i suoi concorrenti meno impegnativi. Questi attacchi insidiosi sono caratterizzati da piattaforme malware personalizzate, fornite tramite metodi precisi e segmentati.
Questi aggressori sono già riusciti a sfuggire alle vittime per lunghi periodi di tempo. Ora, la loro scoperta ha seminato paura in tutto il mondo. Soluzioni di sicurezza dell'ISP hanno dipinto l'immagine di una pinna di squalo che sfonda la superficie dell'acqua
Cos'è un APT
Il fatto spiacevole è che il software conterrà sempre degli exploit. Anche se questo potrebbe tenere sveglio la notte l'ansioso professionista della sicurezza, la grazia salvifica del settore è che la maggior parte degli aggressori opera con motivazioni misericordiosamente semplici.
Gli obiettivi finanziari, ad esempio, spingono gli aggressori verso un approccio basato sulla quantità piuttosto che sulla qualità. Le organizzazioni più deboli potrebbero avere vulnerabilità non risolte che risalgono a decenni fa; sono questi che gli attacchi automatizzati e i criminali affamati metteranno volentieri a nudo. Per la maggior parte delle organizzazioni, le difese continuano ad essere sufficientemente buone da evitare lo sfruttamento con poco sforzo.
Gli autori dell'Advanced Persistent Threat (APT) ribaltano questa mentalità del "buono abbastanza": questi aggressori utilizzano tecniche di accesso continuo e all'avanguardia non solo per ottenere l'accesso a un sistema, ma anche per rimanere all'interno, completamente inosservati per periodi prolungati di tempo.
Gli aggressori dell’APT sono spesso motivati politicamente, con molti gruppi finanziati o che operano direttamente sotto il comando dei governi nazionali. Questi gruppi intraprendono operazioni di cybersec definite che promuovono gli obiettivi del paese che li sostiene.
Vi presentiamo Metador
All'inizio di quest'anno, si è scoperto che un gruppo di ISP, fornitori di telecomunicazioni e università ospitavano una serie di ceppi di malware unici, il cui scopo sembrava essere lo spionaggio persistente. Questi casi sono stati riscontrati principalmente nei fornitori africani e mediorientali.
8 suggerimenti per la scelta di un'app di chat videoGli strumenti in uso erano un mix eclettico di tecniche più vecchie e rudimentali, insieme a un’implementazione altamente agile ed esperta nel settore. Focus primario del gruppo: MetaMain e Mafalda. Si tratta di due piattaforme malware personalizzate, destinate al sistema operativo Windows, che supportano vaste fasce di tecniche di escalation e detonazione del carico utile.
MetaMain, il primo di questi, rappresenta una piattaforma ricca di funzionalità che mira a supportare e imporre l'accesso a lungo termine. Ciò consentiva anche a Metador di registrare le sequenze di tasti, trasferire ed eseguire file tra sistemi ed eseguire shellcode. Infine, MetaMain funge da programma ausiliario per distribuire Mafalda.
Mafalda rappresenta la creme de la creme di Metador. Questo impianto estremamente flessibile offre supporto nativo per oltre 65 comandi, inclusa una suite straordinariamente ampia di funzionalità ransomware e spyware. L'esperienza di Metador si riflette anche nella sua infrastruttura malware. Entrambe queste piattaforme si installano nella memoria del dispositivo infetto, anziché sull'unità disco che sarebbe più facile da rilevare ed eliminare.
Oltre a ciò, nel già ampio elenco delle vittime di Metador, ogni singola vittima è stata presa di mira tramite un server di comando e controllo unico. Ciò riduce notevolmente il rischio di scoperta, poiché il rilevamento di una vittima non fornisce ai ricercatori ulteriori indizi per le altre.
Inoltre, quando una vittima delle telecomunicazioni ha installato un sistema di rilevamento sulla propria rete infetta, Metadordevs si è mosso rapidamente, distribuendo una versione riorganizzata e quindi impegnandosi in pesanti cicli di offuscamento per contrastare l'analisi.
Metador: Ancora un mistero
Sebbene gli APT siano regolarmente finanziati da governi ostili, non esiste ancora tale attribuzione sulla testa di Metador. Il nome trae origine da una riga contenuta nel codice, che recitava “Io sono meta”; la seconda metà del nome riflette indizi che gli sviluppatori, o gli aggressori, potrebbero parlare spagnolo.
Una serie di riferimenti culturali e linguaggi diversi in tutta la codifica suggeriscono che più sviluppatori hanno lavorato su questo per tutta la sua vita. Infine, nonostante la mancanza di esempi scoperti, la cronologia delle versioni attuali del software suggerisce una linea temporale di sviluppo che si estende molto più a lungo di quanto i ricercatori abbiano scoperto.
Metador continua a sconcertare i ricercatori. Nonostante la massima attenzione dimostrata, gli operatori non sembrano preoccuparsi particolarmente se le loro vittime vengono compromesse da altri gruppi aggressori. Una vittima delle telecomunicazioni mediorientali ha ospitato anche altri dieci gruppi di attacco, tra cui il cinese Moshen Dragon.
È raro che le APT consentano la contaminazione incrociata delle loro vittime: la deconflitto è un processo che di solito viene eseguito appena prima del dispiegamento. Questo verifica la presenza di altri malware e, se rilevati, bloccano l'attacco. La filosofia alla base di questo è che, più gruppi si attaccano a un obiettivo, più è probabile che la vittima venga allertata di un attacco.
Inoltre, aumenta anche il rischio di lotte intestine o furti tra gruppi attaccanti. È possibile che un utente malintenzionato rubi il codice o le informazioni correlate utilizzate da altri ATP. Metador, tuttavia, sembra non preoccuparsi di questi rischi.
Un IPS per gli ISP
I fornitori di servizi Internet gestiscono enormi quantità di informazioni personali, oltre a supportare milioni di clienti. Ciò li rende obiettivi particolarmente allettanti, poiché sono piattaforme fantastiche per attacchi spyware su larga scala e alla catena di approvvigionamento.
L’infrastruttura dell’ISP deve evolversi con gli aggressori e gli ATP moderni e ipervigili richiedono difese di prossima generazione. Una parte importante di ciò è la visibilità dei dati e della rete. Le piattaforme basate su cloud e ibride possono rappresentare un compito insormontabile per il tuo team di sicurezza; può essere incredibilmente difficile scoprire risorse remote richiamate da specifiche operazioni basate sul cloud.
Le soluzioni di sicurezza all'avanguardia forniscono strumenti automatizzati di rilevamento e classificazione dei dati, che consentono di valutare attentamente il rischio della propria organizzazione, oltre a liberare ore di lavoro che verrebbero spese a setacciare le risorse. Dai dispositivi periferici utilizzati dai dipendenti che lavorano in remoto, alle reti locali riservate per il massimo livello di sicurezza, il tuo sistema di rilevamento delle risorse deve corrispondere esattamente all'architettura della tua organizzazione.
Oltre a monitorare attivamente lo stato dei dati della tua organizzazione, è fondamentale che il tuo fornitore di soluzioni di sicurezza disponga di un sistema di rilevamento delle intrusioni completo e adattivo. I tradizionali modelli di sicurezza basati sul perimetro si sono dimostrati inefficaci più e più volte, il che significa che la sicurezza moderna richiede sistemi di prevenzione delle intrusioni (IPS).
Questi sistemi automatizzati si concentrano sul comportamento della rete e delle applicazioni, non solo sulle firme malware preesistenti. In questo modo anche i nuovi attacchi di gruppi come Metador vengono individuati, allertati e sradicati.
