Mercoledì 6 aprile, il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha annunciato di aver smantellato una botnet gerarchica a due livelli formata da migliaia di dispositivi di rete, in particolare WatchGuard Firebox e router Asus sotto il controllo di Sandworm gruppo di offensive security dell’intelligence russa alle dirette dipendenze dello stato maggiore dell’esercito. Nella rimozione della botnet controllata dal GRU, il DOJ ha agito in base all’autorizzazione del tribunale federale.
Il blocco della botnet russa da parte degli USA
E per farlo ha impedito le comunicazioni di Sandworm con il malware, Cyclops Blink, da dispositivi di primo livello che Sandworm utilizzava per il comando e il controllo, c&c, della botnet sottostante. Quindi Cyclops Blink, non è stato eliminato né dalla c&c né dalle migliaia di dispositivi di secondo livello in tutto il mondo.
La rimozione del malware è lasciata ai proprietari dei vari nodi. Ognuno dei nodi della c&c si interfacciava con un cluster di nodi del secondo livello che erano quelli usati per lanciare attacchi, anche di tipo DOS, ad altri nodi.
Come agiva Sandworm
I nodi del secondo livello avevano codificato nel loro codice un insieme di indirizzi IP dei nodi del primo livello con cui interagire, una soluzione che deve aver facilitato l’analisi per individuare i nodi di primo livello. Sandworm interagiva con i nodi di primo livello mediante il browser TOR e poi da questi ai nodi di secondo livello. La botnet smantellata probabilmente costituiva l’infrastruttura di attacco di Sandworm da cui partivano tutti gli attacchi del gruppo. Probabilmente sono partiti da questa botnet anche quegli attacchi DOS che hanno bersagliato ministeri e uffici governativi ucraini nei primi giorni dell’invasione russa.
Cyclops Blink, la nuova variante del malware russo attacca i router Asus: i dettagli
Lo smantellamento della botnet che ha coinvolto FBI, NSA e CISA è importante per contestualizzare l’atteggiamento complessivo degli USA che negli ultimi mesi hanno cercato di trasferire la gestione di alcune minacce informatica, in particolare quelle su infrastrutture critiche, da un contesto puramente penale ad uno di sicurezza nazionale in modo da poter utilizzare anche risorse militari.
Il lavoro dell’America per la cybersecurity mondiale
Gli eventi collegati allo smantellamento della botnet hanno anche rivelato ciò che gli USA hanno fatto e stanno facendo per contribuire alla sicurezza informatica dell’Ucraina. In particolare, il generale Nakasone, direttore NSA, ha dichiarato che negli ultimi anni c’è stato un lavoro comune con Ucraina per migliorare la sicurezza informatica del paese e che gruppi di forward-hunting, specializzati nella sicurezza difensiva, della NSA hanno operato in Ucraina anche con personale di aziende privato per rafforzarne le infrastrutture critiche. Inoltre, team di cyber missione della NSA sono attualmente attivi in basi nell’Europa Orientale per interferire contro attacchi russi.
Tutte queste informazioni confermano il ruolo di palestra informatica dell’Ucraina negli ultimi anni e permettono di rispondere in modo più informato alla domanda sul mancato utilizzo di attacchi cyber da parte dell’esercito russo. Queste informazioni consentono anche di rivalutare una notizia che è apparsa nei giorni scorsi e non è ancora stata confermata su un attacco ucraino ad una infrastruttura russa.
L’analisi di Cyclops Blink
Tornando a Cyclops Blink, una sua analisi era già apparsa a Febbraio in un rapporto del GCHQ inglese che evidenziava innanzitutto come questo malware sia un successore di VPNfilter, un malware che aveva come bersaglio router per reti di tipo SOHO (Small Office/Home Office).
VPNFilter è molto modulare, viene scaricato in più step e la maggior parte delle funzionalità è nei moduli distribuiti al terzo step. Questi moduli permettevano
- la manipolazione e la distruzione sia del traffico che del dispotivo infettato,
- l’ interazione con i dispositivi nel secondo livello della botnet,
- il monitoraggio di protocolli SCADA come Modbus.
L’attenzione a protocolli come Modbus è quasi scontata considerato che molto spesso i bersagli di Sandworm sono state reti di controllo industriale. VPNfilter si è diffuso ovunque, senza alcuna limitazione, coerentemente con il fatto che, a partire da NotPetya, Sandworm non è mai stato molto interessato a limitare i suoi bersagli. Comunque, Cisco ha segnalato un aumento delle vittime in Ucraina nel maggio 2018. Inoltre, Sandworm ha usato VPNFilter contro obiettivi nella Repubblica di Corea prima degli attacchi alle Olimpiadi invernali 2018. Nel maggio 2018, Cisco Talos ha pubblicato informazioni su VPNFilter e il Dipartimento di Giustizia degli Stati Uniti lo ha collegato a Sandworm ed annunciato lo smantellamento della botnet.
L’analisi svolta sui due campioni di Cyclops Blink scoperti, ha rivelato che il malware è un eseguibile Linux ELF, compilato per il PowerPC ma che può essere anche compilato per altre architetture. Come VPNfilter ha come bersaglio dispositivi di rete SOHO (Small Office/Home Office), in particolare WatchGuard Firebox ed anche Asus. La creazione della relativa botnet risale almeno al giugno 2019, quindi circa un anno dopo l’annuncio del DOJ dell’intenzione di smantellare la botnet di VPNfilter.
Entrambi i campioni analizzati includevano gli stessi quattro moduli integrati che vengono eseguiti all’avvio e forniscono funzionalità di base per un malware quali caricamento/download di file, rilevamento delle informazioni di sistema e aggiornamento della versione del malware. Ulteriori moduli possono essere aggiunti ricevendo quanto necessario da un server c&c. Il malware assume che gli eseguibili ricevuti dal server siano eseguibili ELF Linux. Le comunicazioni con il server sono cifrate e nel malware è cablata una chiave pubblica RSA. Sono anche presenti una chiave privata RSA ed un certificato che però non sono utilizzati dai moduli noti. Probabilmente esistono altri moduli non ancora noti o sono previsti ulteriori sviluppi. Come detto, Cyclops Blink contiene anche un elenco di indirizzi Ipv4 dei vari server di c&c. Ogni campione analizzato contiene indirizzi diversi.
Come agisce il malware
La prima azione del malware una volta installato su un router è quella di modificare le regole iptables di filtraggio dei messaggi per permettere le comunicazioni di c&c con i vari server. Fatto questo vengono attivati i quattro moduli che compongono il malware. Fatto questo, il modulo in esame si limita a ricevere informazioni dai moduli e accodarli per poi trasmetterli al c&c. Il modulo smista anche le informazioni ricevute dal c&c ai vari moduli. Lo scambio bidirezionale di informazioni con il c&c avviene con una frequenza fissa, circa una volta all’ora. Ognuno dei quattro moduli attivati ha compiti precisi:
- raccolta di informazioni sul funzionamento del router da trasmettere al c&c. Vengono raccolte informazioni sul kernel, sul file system ed uso di memoria. Le informazioni vengono raccolte più volte in un ora e trasmesse al modulo che interagisce con c&c;
- ricezione ed esecuzione di comandi dal c&c. Ogni comando viene eseguito in parallelo agli altri e permette di scaricare o caricare un file verso il c&c;
- gestione della lista dei server di c&c e memorizzazione nel file system locale
- ottenimento della persistenza al reboot ed all’aggiornamento dell’eseguibile del malware manipolando il processo di aggiornamento del firmware del router. Il malware ottiene la persistenza inserendo una propria immagine aggiornata nell’immagine da utilizzare per l’aggiornamento del firmware del router e ricalcolando hash dell’immagine cosi prodotta. L’aggiornamento viene poi eseguito mediante le funzioni predefinite del router. La mancata firma da parte del produttore del valore hash dell’immagine trasmessa per aggiornare il firmware del router, è la vulnerabilità che permette la persistenza di Cyclops Blink e quindi la creazione di una infrastruttura di attacco estesa.
La soluzione usata per la persistenza dimostra che codice di Cyclops Blink è stato sviluppato a partire dal reverse engineering del codice del router WatchGuard Firebox. Ciò ha permesso di scoprire la vulnerabilità della mancata firma del hash dell’immagine per l’aggiornamento del router. Inoltre, il progetto del malware ha posto la massima attenzione alla riduzione del rumore provocato da comunicazioni ed interazioni della infrastruttura di c&c in modo da minimizzare sia la probabilità che questa infrastruttura venisse scoperta che la resilienza. Questo è confermato dalle varie funzionalità di Cyclops Blink per il fine tuning di parametri quali la frequenza con cui vengono raccolte informazioni sul sistema attaccato e quella delle interazioni con il c&c. La resilienza è aumentata dalla presenza di più indirizzi della rete c&c nei vari nodi in modo da poter riconfigurare i collegamenti in caso di caduta o perdita di parte della rete c&c.
E’ evidente che l’analisi del malware è parziale perché descrive le funzionalità di c&c della botnet e per la persistenza ma non i moduli per condurre attacchi mirati o di tipo DOS.
Vista la natura modulare di Cyclops Blink o queste funzionalità non erano probabilmente presenti nei nodi che sono stati riconfigurati per smantellare la botnet oppure l’analisi degli ulteriori moduli non è ancora stata resa pubblica.
Ultimo punto, sia Watchguard che Asus hanno reso disponibili strumenti per rilevare ed eliminare eventuali infezioni anche se l’annuncio del DOJ stressa che è già stato fatto il possibile per conttare tutte le vittime note. Comunque può essere utile ricordare che tutti gli avvisi collegati a Cyclops Blink sottolineano che Sandworm può essere in grado di compilare il malware anche per altre piattaforme.
