Hacker usano da anni il malware F5 BIG-IP
per rubare i dati

Attacco informatico sofisticato da parte di ‘Velvet Ant’

Un gruppo di attori sospettati di cyber-spionaggio cinese, denominato ‘Velvet Ant’, è stato scoperto mentre utilizzava malware personalizzato per compromettere i dispositivi F5 BIG-IP, al fine di stabilire una connessione persistente con la rete interna e rubare dati sensibili. Secondo un rapporto di Sygnia, che ha scoperto l’intrusione dopo essere stata chiamata per indagare sull’attacco informatico, Velvet Ant ha stabilito molteplici punti di appoggio utilizzando vari punti di ingresso nella rete, inclusi dispositivi F5 BIG-IP legacy che fungevano da server di comando e controllo (C2) interni.

Metodo di attacco

L’attacco osservato da Sygnia è iniziato compromettendo due dispositivi F5 BIG-IP obsoleti che l’organizzazione vittima utilizzava per firewall, WAF, bilanciamento del carico e gestione del traffico locale. Entrambi i dispositivi erano esposti online e utilizzavano versioni OS vulnerabili. Sygnia afferma che sono stati compromessi utilizzando note vulnerabilità di esecuzione di codice remoto per installare malware personalizzato sui dispositivi di rete.

Malware utilizzati

Una volta ottenuto l’accesso, gli attaccanti hanno utilizzato questa opportunità per accedere ai server di file interni dove hanno distribuito PlugX, un Trojan modulare di accesso remoto (RAT) utilizzato da vari hacker cinesi per la raccolta e l’esfiltrazione di dati da oltre un decennio. Altri malware distribuiti sui dispositivi F5 BIG-IP includono:

• PMCD: si connette al server C&C ogni ora, esegue comandi ricevuti dal server tramite ‘csh’, mantenendo il controllo remoto.
• MCDP: cattura pacchetti di rete, eseguito con l’argomento ‘mgmt’ NIC, garantendo un monitoraggio persistente della rete.
• SAMRID (EarthWorm): un tunnel proxy SOCKS open-source utilizzato per creare tunnel sicuri, precedentemente utilizzato da vari gruppi sponsorizzati dallo stato cinese.
• ESRDE: simile a PMCD, utilizza ‘bash’ per l’esecuzione di comandi, consentendo il controllo remoto e la persistenza.

Gli attaccanti hanno utilizzato i dispositivi F5 BIG-IP compromessi per mantenere la persistenza nella rete, permettendo loro di accedere alla rete interna mentre confondevano il traffico degli attaccanti con il traffico legittimo della rete, rendendo la rilevazione più difficile.

Catena di reinfezione

Nonostante gli sforzi estensivi di eradicazione dopo la scoperta della violazione, i hacker hanno ri-deployato PlugX con nuove configurazioni per evitare la rilevazione, utilizzando dispositivi interni compromessi come gli apparecchi F5 per mantenere l’accesso.

Raccomandazioni di difesa

Contrastare gruppi di minacce sofisticate e persistenti come Velvet Ant richiede un approccio di sicurezza multilivello e olistico. Sygnia raccomanda le seguenti misure per rilevare attacchi simili:

• Limitare le connessioni in uscita per ridurre al minimo le comunicazioni C&C.
• Implementare controlli rigorosi sui porti di gestione e migliorare la segmentazione della rete.
• Sostituire i sistemi legacy e rafforzare i controlli di sicurezza.
• Distribuire sistemi EDR robusti con funzionalità anti-manomissione e abilitare misure di sicurezza come Windows Credential Guard.
• Rafforzare la sicurezza dei dispositivi edge attraverso la gestione delle patch, il rilevamento delle intrusioni e la migrazione a soluzioni basate su cloud.

Poiché i dispositivi di rete edge non supportano comunemente soluzioni di sicurezza e sono progettati per essere esposti a Internet, sono diventati obiettivi popolari per gli attaccanti che cercano di ottenere accesso iniziale a una rete. Negli ultimi anni, gli hacker legati alla Cina hanno sfruttato le vulnerabilità zero-day di Fortinet, SonicWall, Cisco e Palo Alto Networks per installare malware personalizzato, rubare dati e accedere alle reti interne.