Attacco informatico sofisticato da parte di ‘Velvet Ant’
Un gruppo di attori sospettati di cyber-spionaggio cinese, denominato ‘Velvet Ant’, è stato scoperto mentre utilizzava malware personalizzato per compromettere i dispositivi F5 BIG-IP, al fine di stabilire una connessione persistente con la rete interna e rubare dati sensibili. Secondo un rapporto di Sygnia, che ha scoperto l’intrusione dopo essere stata chiamata per indagare sull’attacco informatico, Velvet Ant ha stabilito molteplici punti di appoggio utilizzando vari punti di ingresso nella rete, inclusi dispositivi F5 BIG-IP legacy che fungevano da server di comando e controllo (C2) interni.
Metodo di attacco
L’attacco osservato da Sygnia è iniziato compromettendo due dispositivi F5 BIG-IP obsoleti che l’organizzazione vittima utilizzava per firewall, WAF, bilanciamento del carico e gestione del traffico locale. Entrambi i dispositivi erano esposti online e utilizzavano versioni OS vulnerabili. Sygnia afferma che sono stati compromessi utilizzando note vulnerabilità di esecuzione di codice remoto per installare malware personalizzato sui dispositivi di rete.
Malware utilizzati
Una volta ottenuto l’accesso, gli attaccanti hanno utilizzato questa opportunità per accedere ai server di file interni dove hanno distribuito PlugX, un Trojan modulare di accesso remoto (RAT) utilizzato da vari hacker cinesi per la raccolta e l’esfiltrazione di dati da oltre un decennio. Altri malware distribuiti sui dispositivi F5 BIG-IP includono:
- PMCD: si connette al server C&C ogni ora, esegue comandi ricevuti dal server tramite ‘csh’, mantenendo il controllo remoto.
- MCDP: cattura pacchetti di rete, eseguito con l’argomento ‘mgmt’ NIC, garantendo un monitoraggio persistente della rete.
- SAMRID (EarthWorm): un tunnel proxy SOCKS open-source utilizzato per creare tunnel sicuri, precedentemente utilizzato da vari gruppi sponsorizzati dallo stato cinese.
- ESRDE: simile a PMCD, utilizza ‘bash’ per l’esecuzione di comandi, consentendo il controllo remoto e la persistenza.
Gli attaccanti hanno utilizzato i dispositivi F5 BIG-IP compromessi per mantenere la persistenza nella rete, permettendo loro di accedere alla rete interna mentre confondevano il traffico degli attaccanti con il traffico legittimo della rete, rendendo la rilevazione più difficile.
Catena di reinfezione
Nonostante gli sforzi estensivi di eradicazione dopo la scoperta della violazione, i hacker hanno ri-deployato PlugX con nuove configurazioni per evitare la rilevazione, utilizzando dispositivi interni compromessi come gli apparecchi F5 per mantenere l’accesso.
Raccomandazioni di difesa
Contrastare gruppi di minacce sofisticate e persistenti come Velvet Ant richiede un approccio di sicurezza multilivello e olistico. Sygnia raccomanda le seguenti misure per rilevare attacchi simili:
- Limitare le connessioni in uscita per ridurre al minimo le comunicazioni C&C.
- Implementare controlli rigorosi sui porti di gestione e migliorare la segmentazione della rete.
- Sostituire i sistemi legacy e rafforzare i controlli di sicurezza.
- Distribuire sistemi EDR robusti con funzionalità anti-manomissione e abilitare misure di sicurezza come Windows Credential Guard.
- Rafforzare la sicurezza dei dispositivi edge attraverso la gestione delle patch, il rilevamento delle intrusioni e la migrazione a soluzioni basate su cloud.
Poiché i dispositivi di rete edge non supportano comunemente soluzioni di sicurezza e sono progettati per essere esposti a Internet, sono diventati obiettivi popolari per gli attaccanti che cercano di ottenere accesso iniziale a una rete. Negli ultimi anni, gli hacker legati alla Cina hanno sfruttato le vulnerabilità zero-day di Fortinet, SonicWall, Cisco e Palo Alto Networks per installare malware personalizzato, rubare dati e accedere alle reti interne.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!