Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

l'analisi

Per una nuova cybersecurity nazionale, che ci insegna il caso Petya

di Gerardo Costabile, DeepCyber

29 Giu 2017

29 giugno 2017

 Negli ultimi giorni il panorama internazionale si trova ad essere partecipe di un altro caso di infezione su larga scala, derivante dalla diffusione di un ransomware, basato su una variante del codice Petya, simile in alcuni suoi aspetti al precedente caso di WannaCry.

Sebbene siano state registrate decine di migliaia gli attacchi informatici legati a questa infezione, i principali target sono aziende localizzate in Ucraina, Russia ed Europa Occidentale ed appartenenti a diverse industry, quali ad esempio terminal aeroportuali, aziende energetiche, banche, fabbriche, società di assicurazioni, servizi militari. Anche in Italia si sono registrate alcune infezioni, quella più nota – per aver avuto eco sui media – è stata quella ai danni dell’Azienda Maschio Gaspardo del padovano. Risulterebbero “colpiti” i due stabilimenti di Cadoneghe e Campodarsego e per questo motivo fermi 600 lavoratori, in attesa della risoluzione del problema.

Più in generale, la natura, la complessità e l’aumento degli attacchi cibernetici negli ultimi mesi è caratterizzata principalmente da due componenti, non necessariamente collegate: da un lato si assiste al riutilizzo di vulnerabilità già note come la CVE-2017-0199 (denominata EternalBlue) dichiarata pubblica dal gruppo Shadow Brokers (a valle del noto data breach ai danni dell’agenzia d’intelligence americana NSA), dall’altro si impiegano campagne di spear-phishing che includono componenti “ransomware” e sue varianti. L’unione di questi due aspetti, quando presente, ha evidenziato una maggiore efficacia nell’attacco ed in particolare nella propagazione dell’infezione (uso della vulnerabilità) e blocco dei sistemi (uso della componente ransomware), mentre una minore efficacia riguardante la componente estorsiva (pagamento in Bitcoin).

L’enorme differenza che c’è stata tra l’impatto ed il beneficio, inteso come guadagno da parte del gruppo criminale, è da associare alla non elevata complessità tecnica dell’attacco, tale da non destare particolari complicazioni per gli addetti ai lavori di grandi organizzazioni ed in particolare chi si è attivato con processo di Cyber Intelligence e di Cyber threat management (oltre che un robusto processo di patch management, vero grande “problema” sulla cui efficienza insiste l’efficacia di questa tipologia di attacchi. Pertanto un approccio più articolato, sia «Intelligence Driven» che di “cyber threat hunting”, risulterebbe allo stato dell’arte tra i più efficaci per ridurre i tempi di risposta e più in generale per avere un’ottima «Situational Awareness» su quanto avviene in ambito internazionale.[1]

 

Un caso studio: l’incidente/infezione Petya (o nonPetya)

La propagazione dell’infezione nelle reti locali, in particolare per il caso Petya, è avvenuta attraverso il protocollo Remote Desktop Protocol (RDP) sfruttando la nota vulnerabilità critica legata al Windows SMB vulnerability (MS17-010).

L’analisi codice ha determinato che l’infezione fa uso dei comandi WMI e PSExec come lateral movement per propagarsi su altri sistemi.

Da quanto fino a questo momento stabilito, il codice malevolo si sta diffondendo attraverso due campioni che possiamo distinguere sulla base del loro valore hash SHA-256 (uso della vulnerabilità):

  1. 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  2. 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

Dopo che un sistema viene infettato, il malware modifica l’MBR e l’MFT (file system) sul computer e pianifica il suo riavvio. Una volta che il sistema si riavvia, appare all’utente un falso messaggio legato all’utility “chkdisk” e viene avviata la cifratura basata sull’algoritmo RSA a 2048-bit dei file di interesse del malware.

I file presenti sul disco cifrati dal ransomware sono tutti quelli con le seguenti estensioni:

3ds,7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work e xls.

Gli elementi significativi presenti nel codice sorgente e legati all’ottenimento del riscatto (componente ransomware) sono i seguenti:

  • Messaggio di allerta e indicazione dell’ammontare da pagare“If you see this text, then your files are no longer accessible, because they\r\n have been encrypted. Perhaps you are busy looking for a way to recover your\r\n files, but don’t waste your time.  Nobody can recover your files without our\r\n decryption service.\r\n\r\n We guarantee that you can recover all your files safely and easily.  All you\r\n need to do is submit the payment and purchase the decryption key.\r\n\r\n Please follow the instructions:\r\n\r\n 1. Send $300 worth of Bitcoin to following address:\r\n    \r\n”;
  • indirizzo di posta elettronica a cui inviare il proprio Bitcoin wallet ID: “\r\n\r\n 2. Send your Bitcoin wallet ID and personal installation key to e-mail\r\n wowsmith123456@posteo.net[2]. Your personal installation key:\r\n\r\n;
  • indirizzo bitcoin a cui inviare il riscatto: “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX”.

 

Le informazioni di dettaglio sulle transazioni operate sono visibili sull’indirizzo bitcoin: https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

I sistemi impattati dall’infezione sono i Microsoft da Windows XP a Windows 2008, su cui è abilitato il servizio SMB alla porta 445 ed a cui non è stata precedentemente applicata la patch Microsoft MS17-010.

 

Possiamo parlare di “lesson learned”? (infra: Il ruolo della Cyber Threat Intelligence)

Gestire efficacemente questo tipo di minacce cyber significa percorrere un “Maturity Model”, all’interno delle proprie aziende e della pubblica amministrazione, basato sul miglioramento reale dell’efficacia della sicurezza. Questo deve avvenire aldilà dei processi, delle certificazioni ISO27001, delle strategie generali (elementi necessari ma non sufficienti).

Il punto critico che sta emergendo in questi ultimi mesi, anche incrementato dalla pubblicazione di vulnerabilità “rubate” alla NSA o CIA (e successivamente “patchate” da Microsoft), è che dopo mesi molte aziende non hanno ancora aggiornato i sistemi informatici allo stato dell’arte della sicurezza. A volte questo può essere un problema, come noto agli addetti ai lavori, perché ci possono essere applicazioni custom o problemi di compatibilità generali che potrebbero rallentare o rendere problematico l’uso dei sistemi industriali a valle dell’aggiornamento. Vero anche che l’esperienza insegna che in taluni casi si sottovalutano questi aggiornamenti, si programmano a lungo termine e non si comprende che si sta spostando un rischio in avanti e non un semplice aggiornamento applicativo.

Possiamo dire che è il momento di fare qualcosa di più concreto per incentivare le organizzazioni ad una maggiore efficacia del path management? Probabilmente, come avviene in questi casi in Italia, dovremmo ricorrere a norme specifiche, ad una sorta di “vaccinazione obbligatoria”, prendendo ad esempio quanto avviene nel settore sanitario (non a caso, in effetti, si parla di virus anche nell’informatica). Un approccio cyber security based, a nostro avviso, non può non avere al centro della strategia un solido ed efficace processo di patch management, dando alle organizzazioni tempi precisi per adeguarsi in base alla severità delle vulnerabilità. Contestualmente va attivato un processo di audit simile a quanto avviene nel settore bancario da parte della Banca d’Italia ed un obbligo di segnalazione di incidente come previsto in ambito data breach nel settore telco e più recentemente in quello bancario. Con l’occasione della direttiva NIS e del recente aggiornamento del DPCM per la sicurezza cibernetica si potrebbe affrontare, anche sul piano tecnico oltre che regolatorio, quanto necessario per innalzare la sicurezza nazionale.

Analogamente, attraverso le attività di Cyber Threat Intelligence, è possibile ulteriormente anticipare il momento di identificazione di una specifica minaccia, fornendo agli analisti ed incident responder un actionable intelligence, ovvero un’informazione analizzata, contestualizzata, tempestiva, accurata, rilevante e predittiva (più che generiche informazioni o bollettini che rendono complesso il lavoro tecnico della security).

Le attività di Cyber Threat Intelligence, in particolare, consentono ai team di analisti di mettere a fuoco strategicamente le loro risorse per ottenere il massimo effetto, anticipando in modo proattivo l’identificazione delle minacce utilizzando un approccio basato sul «cyber threat hunting»[3]:

Per rendere l’attività di Cyber Threat Hunting efficace bisogna considerare due aspetti:

 

  • Le informazioni disponibili nel Web, Deep e Dark Web (in gergo chiamate Feeds);
  • La tecnologia a supporto dell’attività di Hunting (in gergo chiamate Cyber Threat Platform).

I feed sono le informazioni di base, che possono essere sia in formato «grezzo» o più «strutturato» e disponibili in varie tipologie o su georeferenziazioni diverse, sia di tipo OSINT che closed, gratuite a pagamento. Queste informazioni possono essere rappresentate da report già esistenti (es. PDF, Doc, etc) , IoC, parti di codice , rumors sui social network, etc. Ognuno di questi elementi concorre alla prima fase di creazione di un “actionable intelligence data”. Passare quindi da un’informazione “Grezza” ad una “Actionable”, deve avvenire solo attraverso l’utilizzo di un protocollo strutturato di rappresentazione e comunicazione denominato STIX/TAXII.

Il protocollo STIX – che sarà lo standard che anche l’Italia utilizzerà in ambito infrastrutture critiche mediante l’AGID, insieme ad altre metodologie di information sharing – è stato progettato per fornire maggiore contesto alla minaccia cyber, attraverso l’integrazione di modelli osservabili, in grado di coprire l’intera gamma di informazioni necessarie. Il protocollo utilizza l’XML per definire il contesto relativi alla minaccia ed utilizza diversi costrutti.

 

Nel caso in esame riguardante la minaccia Petya, le componenti utilizzate per la creazione del modello STIX sono state:

 

  • Indicator : in cui sono stati inclusi gli Hash;
  • TTP : in cui sono stati inclusi i nomi dei files;
  • Exploit Target : in cui sono stati inclusi le CVEs.

 

La piattaforma di Cyber Threat Intelligence (TIP) è uno strumento tecnologico in grado di aggregare i Feed commerciali e non dai diversi provider di c.d. cyber threat feed, suddivisi per tipologia di competenza e know-how ma anche su base territoriale.[4]

L’utilizzo di tale tecnologia permette di effettuare delle attività di “data fusion”, utili ai fini dell’analisi. In particolare per il caso Petya (o per gli altri casi che ogni giorno si attestano in rete), è stato possibile utilizzare il modello STIX di cui sopra come input alla TIP, al fine di cercare ulteriori elementi utili per le attività di analisi, anche mediante un processo di “enrichment”. Il risultato del processo è stato poi utilizzato come elemento di conferma dell’analisi tecnica sopra indicata e successivamente utilizzato per la costruzione di un “outgoing feed” (STIX, CSV, JSON) da fornire ai sistemi sicurezza come i SIEM.

 

Prime conclusioni

Il costante riutilizzo del vettore di attacco unito alle diverse varianti di codice (es. Petya, WannaCry) sarà il vero driver delle nuove forme di minaccia, tali per cui le aziende dovranno adottare sempre di più strategie innovative di Cyber Threat Intelligence su base continuativa.

Rimane da chiedersi quindi, se stiamo andando verso la direzione di una “Cyber Warfare”, è quindi strumenti sempre più sofisticati in grado di attaccare infrastrutture critiche nazionali rendendo le stesse inutilizzabili, utilizzando le caratteristiche intrinseche dei ransomware, in modalità “Wiping”[5] e quindi come una possibile “Cyber Arma” o siamo di fronte a semplici strumenti in grado di bloccare l’accesso ai dati attraverso tecniche crittografiche con scopo di estorsione. Sicuramente quest’ondata di campagne di attacco non si fermerà e ci troveremo a breve ad affrontare ulteriori nuove varianti ma con impatti su scala sempre più ampia sia in termini geografici sia in termini di settori industriali impattati.

Ad avviso di chi scrive, al di là dei nomi delle minacce o delle strategie di più alto livello, è necessario lavorare anche sul piano tecnico e tattico, partendo a volta dalle basi, per innalzare il livello generale della sicurezza. L’Italia, in particolare, è una nazione dove ci sono moltissime PMI e quindi la sicurezza informatica non può viaggiare a velocità troppo diverse tra le grandi realtà (civili e militare) ed il tessuto industriale e sociale territoriale. Probabilmente sarà necessaria una ennesima azione legislativa, che possa fare anche da collante ai vari GDPR, direttiva NIS, DPCM sulla cyber security et similia. Al momento, il consiglio più importante resta quello di non rimandare azioni preventive, basate su patch management, SOC/gestione incidenti e sulla cyber threat intelligence a supporto delle prime due.

[1] Per informazioni tecniche si faccia riferimento al seguente link : (https://drive.google.com/file/d/0B5cE2sApucrYTXhPUnVZaEE3dUE/view)

[2] wowsmith123456@posteo.net è stato già bloccato, come comunicato dal sito di Posteo (https://posteo.de/en/blog/info-on-the-petrwrappetya-ransomware-email-account-in-question-already-blocked-since-midday) su cui era stata registrato l’account utilizzato per chiedere il riscatto.

[3] Capacità di detection delle minacce provenienti dal mondo Cyber

[4] Una piattaforma di TIP è composta da diversi moduli ognuno dei quali concorre ad incrementare il livello di Intelligence

[5] Cancellazione totale dei dati da un supporto elettronico (es. Hard Drive, USB pen drive, Storage, etc)

Articoli correlati