Poco prima di lasciare la Casa Bianca a gennaio, il Presidente Joe Biden ha annunciato sanzioni contro individui ed entità nordcoreane per aver gestito una rete di lavoratori IT nordcoreani che utilizzavano l’intelligenza artificiale per camuffarsi da americani, un fenomeno che è emerso con la compromissione di KnowBe4, azienda IT internazionale.
Indice degli argomenti
La minaccia dei deepfake per le aziende
La più recente notizia di DeepSeek potrebbe aver oscurato questa notizia importante di deepfake, ma tutte le organizzazioni che svolgono attività IT in outsourcing dovrebbero prendere sul serio la minaccia. Vicende come quella di KnowBe4, oppure quella di un’organizzazione criminale che utilizzava un deepfake del ministro Guido Crosetto per truffare importanti imprenditori, mostrano che è semplice ingannare le aziende ed i privati, utilizzando tecnologie deepfake oppure spostando il proprio indirizzo IP in altri paesi. Questo pericolo non riguarda soltanto i grandi multinazionali, ma anche le PMI e le università che detengono informazioni interessanti per gli hacker, come i progetti di ricerca.
Tecniche sofisticate di attacco informatico
Dietro a questi attacchi si celano tecniche sempre più sofisticate: i deepfake, ad esempio, permettono di ricreare voci e volti, mentre gli strumenti per lo spoofing dell’IP sono spesso gratuiti e non richiedono alcuna identificazione del compratore. Un malintenzionato può fingere di trovarsi a New York quando in realtà opera da Pyongyang, o di avere un volto e una voce “sintetizzati” a partire da spezzoni audio-video reperiti online. Se le aziende vogliono proteggersi da questa tipologia di attacchi è fondamentale guardare lo sviluppo degli attacchi nella loro interezza, acquisendo tutte le informazioni di Cyber Threat Intelligence rilevanti, insieme alla tecnica di deepfake TTP di Deepfake IT.
Tattiche, tecniche e procedure delle operazioni di spionaggio
Qui riportiamo una sintesi delle analisi della Unit42 di Palo Alto delle tattiche, tecniche e procedure (TTP) delle due operazioni di spionaggio e frode da parte di threat actor legati alla Repubblica popolare di Corea: Contagious Interview CL-STA-0240 e Wagemole CL-STA-0241, per poi capire come si può difendersi da queste minacce.
La prima campagna, denominata “Contagious Interview“, vede gli attori della minaccia fingersi datori di lavoro (spesso in modo anonimo o con identità poco chiare) per attirare sviluppatori software e indurli a installare malware durante il processo di colloquio.
La seconda campagna, denominata “Wagemole“, consiste nel tentativo degli attori della minaccia di ottenere lavori non autorizzati presso organizzazioni negli Stati Uniti e in altre parti del mondo, con l’obiettivo sia di ottenere guadagni finanziari sia di condurre operazioni di spionaggio.
Il malware BeaverTail e InvisibleFerret
Nello specifico, in Contagious Interview, gli attori convincevano la vittima a scaricare una versione modificata di un programma per le videochiamate, come MiroTalk o FreeConference, contenente il malware BeaverTail. Nel caso in cui questo non fosse stato possibile, durante il colloquio chiedevano alle vittime di scaricare un pacchetto di software malevolo (BeaverTail) da GitHub dicendo che sarebbe servito per fare un test delle loro competenze.
BeaverTail ha due funzionalità principali. Prima, come infostealer: prende di mira wallet di criptovalute e informazioni di carte di credito memorizzate nei browser web della vittima; e secondo, come loader: scarica ed esegue la fase successiva dell’attacco, l’installazione di un altro malware chiamato InvisibleFerret che a sua volta consente la raccolta di informazioni sul sistema, il controllo remoto, la registrazione dei tasti digitati, l’esfiltrazione di dati, il furto di credenziali e dati dai browser, il download del client AnyDesk (se necessario, per ottenere ulteriore controllo remoto).
Le strategie di infiltrazione di Wagemole
Per quanto riguarda Wagemole, gli attori sfruttavano le piattaforme di freelance e di ricerca lavoro più popolari per individuare potenziali obiettivi e mandare le domande di lavoro per posizioni aperte utilizzando identità fittizie molto ben preparate, con siti web fasulli, risposte dettagliate e coperture coerenti. Una volta assunti, anche in più posti contemporaneamente, Wagemole si concentrava sull’esfiltrazione di dati sensibili ed altre attività di spionaggio industriale. Le identità fraudolente venivano create utilizzando documenti di identità rubati, oppure identità sintetiche, combinando informazioni reali e false (spesso generate con l’IA). Spesso Wagemole si serviva di facilitatori presenti sul suolo americano che potevano servire per fare le interviste di lavoro in presenza oppure per ritirare il computer e il telefono aziendale sul quale installavano una serie di tool come Chrome Remote Desktop, AnyDesk, Splashtop Streamer, TeamViewer e RustDesk e dispositivi hardware come TinyPilot o PiKVM, consentendo ai threat actor di controllare da remoto i computer come se fossero fisicamente presenti. A ciò venivano aggiunti VPN, server privati virtuali (VPS) e servizi proxy per modificare l’indirizzo IP e la geolocalizzazione dell’attaccante.
Deepfake Detective: metodi di indagine per identificare gli attori delle minacce
Le grandi storie di deepfake fanno notizia, ma la sofisticata ricerca e le indagini per identificare i veri attori che si celano dietro i deepfake raramente ricevono la stessa attenzione. La buona notizia è che è possibile identificare gli attori delle minacce dietro queste campagne utilizzando metodi di indagine informatica e anche un po’ di lavoro da open source detective, come la geolocalizzazione delle immagini.
Per esempio, nel caso di Wagemole, la caccia è iniziata da GitHub, un repository pubblicamente accessibile, dov’è stato possibile scoprire e poi analizzare documenti legati all’operazione come CV falsi, script per prepararsi alle interviste, annunci di lavoro di aziende statunitensi e password di documenti prese dal lessico nordcoreano.
Le foto del CV degli attori potevano essere geolocalizzate controllando i metadati EXIF o con strumenti di ricerca inversa come Google Images, TinEye, Bing o con strumenti di ricerca immagine sui social media (es. Maltego). Qui è molto importante utilizzare anche strumenti di investigazione tradizionali. Per esempio, una delle foto dei CV si poteva vedere un centro commerciale in Laos sullo sfondo, suggerendo la possibile reale posizione degli attori.
Indicatori di attività sospette
Inoltre, i numeri di telefono indicati sui CV degli attori di minaccia utilizzavano tutti il VoIP. L’uso di un numero VoIP invece di un numero telefonico tradizionale può essere un indicatore di attività hacker o deepfake perché i numeri VoIP sono facilmente acquistabili, anonimi, difficili da tracciare e possono essere utilizzati da qualsiasi parte del mondo, rendendoli ideali per frodi, phishing e altre operazioni malevole senza rivelare la vera identità o posizione dell’attaccante.
La scoperta di Wagemole deriva anche dall’analisi dell’infrastruttura utilizzata per condurre Contagious Interview, di cui un elemento importante è stata l’identificazione del server Command e Control a cui InvisibleFerret inviava le informazioni esfiltrate. A seguito dell’analisi di entrambe le campagne sono stati estratti degli indicatori di compromissione interessanti (hash di BeaverTail, indirizzi IP ed email legate agli attori).
Cyber due diligence come strumento di difesa
L’utilizzo di deepfake, però, è sola una parte dell’attività di compromissione. In realtà, l’utilizzo di deepfake è uno strumento di tanti usati nel caso di KnowBe4. Anche se la maggior parte delle aziende non può intraprendere un tale livello di analisi e di indagine su ogni CV che riceve o su ogni potenziale partner commerciale che desidera assumere, può sicuramente utilizzare Cyber Threat Intelligence, consentendoci di integrare una sorta di “cyber due diligence” nelle nostre stesse reti, per impedire a questi attori di entrare in azione.
Questa Cyber Due Diligence combina Cyber Threat Intelligence, Vulnerability Assessment e la Due Diligence tradizionale in modo da identificare sia le vulnerabilità informatiche degli asset digitali, account compromessi e le informazioni sensibili già presenti online (documenti, indirizzi mail, foto del personale), sia quali attori sono maggiormente interessati ad attaccare l’azienda.
Successivamente, utilizziamo queste informazioni per implementare i controlli ICT sui sistemi informatici, ad esempio: classificare gli asset ridefinendo quelli più critici, configurarli per mitigare le TTPs (come la configurazione Active Directory), fare il tuning degli strumenti di difesa informatica come il SIEM al fine di identificare esattamente i log generati durante gli attacchi e impostare appositi alert, seguendo la metodologia del Center for Threat-Informed Defense del MITRE.
La sfida dei deepfake è sempre più importante, ma utilizzando una mirate combinazione di cyber due diligence e attività da detective, la possiamo affrontare.
