operazione anti sandworm

Gli Usa difendono l’Occidente da attacchi russi: il caso della botnet con Cyclops Blink

Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato di aver smantellato una botnet russa formata da migliaia di dispositivi di rete. Con il malware Cyclops Blink, operato da Sandworm. Cosa ci insegna questa operazione

08 Apr 2022
Fabrizio Baiardi

Professore Ordinario di Informatica, Responsabile gruppo ICT risk assessment and management, Università di Pisa

usa aborto privacy

Mercoledì 6 aprile, il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato di aver smantellato una botnet gerarchica a due livelli formata da migliaia di dispositivi di rete, in particolare WatchGuard Firebox e router Asus sotto il controllo di Sandworm gruppo di offensive security dell’intelligence russa alle dirette dipendenze dello stato maggiore dell’esercito. Nella rimozione della botnet controllata  dal GRU, il DOJ ha agito in base all’autorizzazione del tribunale federale.

Il blocco della botnet russa da parte degli USA

E per farlo ha impedito le comunicazioni di Sandworm con il malware, Cyclops Blink, da dispositivi di primo livello che Sandworm utilizzava per il comando e il controllo, c&c, della botnet sottostante. Quindi Cyclops Blink, non è stato eliminato né dalla c&c né dalle migliaia di dispositivi di secondo livello in tutto il mondo.

WHITEPAPER
IoT Platform: trasforma le promesse del 4.0 in realtà
IoT
Integrazione applicativa

La rimozione del malware è lasciata ai proprietari dei vari nodi. Ognuno dei nodi della c&c si interfacciava con un cluster di nodi del secondo livello che erano quelli usati per lanciare attacchi, anche di tipo DOS, ad altri nodi.

Come agiva Sandworm

I nodi del secondo livello avevano codificato nel loro codice un insieme di indirizzi IP dei nodi del primo livello con cui interagire, una soluzione che deve aver facilitato l’analisi per individuare i nodi di primo livello. Sandworm interagiva con i nodi di primo livello mediante il browser TOR e poi da questi ai nodi di secondo livello. La botnet smantellata probabilmente costituiva l’infrastruttura di attacco di Sandworm da cui partivano tutti gli attacchi del gruppo. Probabilmente sono partiti da questa botnet anche quegli attacchi DOS che hanno bersagliato ministeri e uffici governativi ucraini nei primi giorni dell’invasione russa.

Cyclops Blink, la nuova variante del malware russo attacca i router Asus: i dettagli

Lo smantellamento della botnet che ha coinvolto FBI, NSA e CISA è importante per contestualizzare l’atteggiamento complessivo degli USA che negli ultimi mesi hanno cercato di trasferire la gestione di alcune minacce informatica, in particolare quelle su infrastrutture critiche, da un contesto puramente penale ad uno di sicurezza nazionale in modo da poter utilizzare anche risorse militari.

Il lavoro dell’America per la cybersecurity mondiale

Gli eventi collegati allo smantellamento della botnet hanno anche rivelato ciò che gli USA hanno fatto e stanno facendo per contribuire alla sicurezza informatica dell’Ucraina. In particolare, il generale Nakasone, direttore NSA, ha dichiarato che negli ultimi anni c’è stato un lavoro comune con Ucraina per migliorare la sicurezza informatica del paese e che gruppi di forward-hunting, specializzati nella sicurezza difensiva, della NSA hanno operato in Ucraina anche con personale di aziende privato per rafforzarne le infrastrutture critiche. Inoltre, team di cyber missione della NSA sono attualmente attivi in basi nell’Europa Orientale per interferire contro attacchi russi.

Tutte queste informazioni confermano il ruolo di palestra informatica dell’Ucraina negli ultimi anni e permettono di rispondere in modo più informato alla domanda sul mancato utilizzo di attacchi cyber da parte dell’esercito russo.  Queste informazioni consentono anche di rivalutare una notizia che è apparsa nei giorni scorsi e non è ancora stata confermata su un attacco ucraino ad una infrastruttura russa.

L’analisi di Cyclops Blink

Tornando a Cyclops Blink, una sua analisi era già apparsa a Febbraio in un rapporto del GCHQ inglese che evidenziava innanzitutto come questo malware sia un successore di VPNfilter, un malware che aveva come bersaglio router per reti di tipo SOHO (Small Office/Home Office).

VPNFilter è molto modulare, viene scaricato in più step e la maggior  parte delle funzionalità è nei moduli distribuiti al terzo step. Questi moduli permettevano

  1. la manipolazione e la distruzione sia del traffico che del dispotivo infettato,
  2. l’ interazione con i dispositivi nel secondo livello della botnet,
  3. il monitoraggio di protocolli SCADA come Modbus.

L’attenzione a protocolli come Modbus è quasi scontata considerato che molto spesso i bersagli di Sandworm sono state reti di controllo industriale. VPNfilter si è diffuso ovunque, senza alcuna limitazione, coerentemente con il fatto che, a partire da NotPetya, Sandworm non è mai stato molto interessato a limitare i suoi bersagli. Comunque, Cisco ha segnalato un aumento delle vittime in Ucraina nel maggio 2018. Inoltre, Sandworm ha usato VPNFilter contro obiettivi nella Repubblica di Corea prima degli attacchi alle Olimpiadi invernali 2018. Nel maggio 2018, Cisco Talos ha pubblicato informazioni su VPNFilter e il Dipartimento di Giustizia degli Stati Uniti lo ha collegato a Sandworm ed annunciato lo smantellamento della botnet.

L’analisi svolta sui due campioni di Cyclops Blink scoperti, ha rivelato che il malware è un eseguibile Linux ELF, compilato per il PowerPC ma che può essere anche compilato per altre architetture. Come VPNfilter ha come bersaglio dispositivi di rete SOHO (Small Office/Home Office), in particolare WatchGuard Firebox ed anche Asus. La creazione della relativa botnet risale almeno al giugno 2019, quindi circa un anno dopo l’annuncio del DOJ dell’intenzione di smantellare la botnet di VPNfilter.

Entrambi i campioni analizzati includevano gli stessi quattro moduli integrati che vengono eseguiti all’avvio e forniscono funzionalità di base per un malware quali caricamento/download di file, rilevamento delle informazioni di sistema e aggiornamento della versione del malware. Ulteriori moduli possono essere aggiunti ricevendo quanto necessario da un server c&c.  Il malware assume che gli eseguibili ricevuti dal server siano eseguibili ELF Linux. Le comunicazioni con il server sono cifrate e nel malware è cablata una chiave pubblica RSA. Sono anche presenti una chiave privata RSA ed un certificato che però non sono utilizzati dai moduli noti. Probabilmente esistono altri moduli non ancora noti o sono previsti ulteriori sviluppi. Come detto, Cyclops Blink contiene anche un elenco di indirizzi Ipv4 dei vari server di c&c. Ogni campione analizzato contiene indirizzi diversi.

Come agisce il malware

La prima azione del malware una volta installato su un router è quella di modificare le regole iptables di filtraggio dei messaggi per permettere le comunicazioni di c&c con i vari server. Fatto questo vengono attivati i quattro moduli che compongono il malware. Fatto questo, il modulo in esame si limita a ricevere informazioni dai moduli e accodarli per poi trasmetterli al c&c. Il modulo smista anche le informazioni ricevute dal c&c ai vari moduli. Lo scambio bidirezionale di informazioni con il c&c avviene con una frequenza fissa, circa una volta all’ora. Ognuno dei quattro moduli attivati ha compiti precisi:

  1. raccolta di informazioni sul funzionamento del router da trasmettere al c&c. Vengono raccolte informazioni sul kernel, sul file system ed uso di memoria. Le informazioni vengono raccolte più volte in un ora e trasmesse al modulo che interagisce con c&c;
  2. ricezione ed esecuzione di comandi dal c&c. Ogni comando viene eseguito in parallelo agli altri e permette di scaricare o caricare un file verso il c&c;
  3. gestione della lista dei server di c&c e memorizzazione nel file system locale
  4. ottenimento della persistenza al reboot ed all’aggiornamento dell’eseguibile del malware manipolando il processo di aggiornamento del firmware del router. Il malware ottiene la persistenza inserendo una propria immagine aggiornata nell’immagine da utilizzare per l’aggiornamento del firmware del router e ricalcolando hash dell’immagine cosi prodotta. L’aggiornamento viene poi eseguito mediante le funzioni predefinite del router. La mancata firma da parte del produttore del valore hash dell’immagine trasmessa per aggiornare il firmware del router, è la vulnerabilità che permette la persistenza di Cyclops Blink e quindi la creazione di una infrastruttura di attacco estesa.

La soluzione usata per la persistenza dimostra che codice di Cyclops Blink è stato sviluppato a partire dal reverse engineering del codice del router WatchGuard Firebox. Ciò ha permesso di scoprire la vulnerabilità della mancata firma del hash dell’immagine per l’aggiornamento del router. Inoltre, il progetto del malware ha posto la massima attenzione alla riduzione del rumore provocato da comunicazioni ed interazioni della infrastruttura di c&c in modo da minimizzare sia la probabilità che questa infrastruttura venisse scoperta che la resilienza. Questo è confermato dalle varie funzionalità di Cyclops Blink per il fine tuning di parametri quali la frequenza con cui vengono raccolte informazioni sul sistema attaccato e quella delle interazioni con il c&c. La resilienza è aumentata dalla presenza di più indirizzi della rete c&c nei vari nodi in modo da poter riconfigurare i collegamenti in caso di caduta o perdita di parte della rete c&c.

E’ evidente che l’analisi del malware è parziale perché descrive le funzionalità di c&c della botnet e per la persistenza ma non i moduli per condurre attacchi mirati o di tipo DOS.

Vista la natura modulare di Cyclops Blink o queste funzionalità non erano probabilmente presenti nei nodi che sono stati riconfigurati per smantellare la botnet oppure l’analisi degli ulteriori moduli non è ancora stata resa pubblica.

Ultimo punto, sia Watchguard che Asus hanno reso disponibili strumenti per rilevare ed eliminare eventuali infezioni anche se l’annuncio del DOJ stressa che è già stato fatto il possibile per conttare tutte le vittime note. Comunque può essere utile ricordare che tutti gli avvisi collegati a Cyclops Blink sottolineano che Sandworm può essere in grado di compilare il malware anche per altre piattaforme.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3