Yarix, la divisione Digital Security di Var Group individuato un Advanced Persistent Threat mai rilevato in precedenza a livello internazionale: ha individuato e analizzato una backdoor in un web server Apache che permette di sniffare il traffico Https quando questo viene lecitamente decifrato dal web server.
La scoperta è stata possibile grazie alle attività di incident response, assessment e digital forensics condotte da Yarix per ricostruire la dinamica di un incidente di cybersecurity all’interno del sistema digitale di un operatore del comparto dei trasporti.
Si tratta di un incidente a cui l’azienda ha reagito prontamente ma che, data la sua complessità, è risultato non individuabile proprio a causa delle sofisticate tecniche utilizzate, in grado di eludere tutti i sistemi di sicurezza in dotazione .
L‘analisi tecnica è stata suddivisa in più parti ne pubblicata sul sito Yarix. Le successive, contenenti ulteriori dettagli sul funzionamento interno, sono ancora in corso e verranno pubblicate nei prossimi giorni.
Le prime evidenze dicono che l’incidente non era rilevabile dai log: l’APT individuato è progettato per nascondere le tracce del proprio funzionamento.
L’APT è in grado di captare le informazioni sensibili di utenti di piattaforme online di pagamento, inserendosi all’interno del processo quando i dati, trasmessi in modo cifrato, vengono lecitamente decifrati dal web server.
Alterando un modulo di Apache l’APT intercetta ed archivia in memoria dati sensibili, a cui l’hacker può in seguito accedere collegandosi direttamente dall’esterno simulando traffico lecito: non essendoci alcun invio autonomo di dati verso l’esterno del sistema, né nessuna registrazione delle attività, la violazione risulta molto difficile da rilevare.
Per Yarix è la prima volta in cui si ha evidenza che la compromissione di moduli di Apache venga utilizzata in questo modo; in precedenza questa tecnica è stata utilizzata per impiantare backdoor (ad esempio il malware Linux/Cdorked.A) al fine di ridirezionare il traffico verso siti compromessi.
Tutti i dati in transito da e verso un web server in cui sia stato impiantato un modulo compromesso possono essere intercettati ed archiviati in memoria senza lasciare tracce in caso di indagine forense post-mortem e resi disponibili all’attaccante: dati personali, dati bancari e informazioni sensibili risultano infatti intercettati post decodifica operata legittimamente dal web server.
Come ha lavorato Yarix
Per l’individuazione di questa minaccia, la società di Var Group ha messo in campo risorse appartenenti a team differenti, che hanno permesso di definire una strategia di indagine basata su attività di incident response, che ha comportato attività di analisi dinamica del comportamento del sistema, consentendo di individuare le richieste illecite operate dall’attaccante; richieste che non venivano in alcun modo registrate dai sistemi di logging. Sulla base di queste evidenze, ricostruendo il flusso dei dati in transito nel sistema, è stato poi possibile riconoscere la compromissione di un modulo di Apache e, di conseguenza, la dinamica di funzionamento del malware; attività di assessment, che hanno consentito di identificare la possibile kill-chain seguita dall’attaccante; attività di malware analysis, che, grazie a tecniche di analisi statica e dinamica, hanno permesso di sezionare il modulo compromesso, identificarne gli algoritmi di cifratura utilizzati e comprendere quindi nel dettaglio ogni sua caratteristica e funzionalità.
