APT39: l’analisi di FireEye

Si tratta di un gruppo di cyber spionaggio iraniano focalizzato sulle informazioni personali

APT39 è un gruppo di cyber spionaggio iraniano responsabile di furti massivi di informazioni personali. Il gruppo è stato identificato nello scorso dicembre da FireEye che ha iniziato il monitoraggio di queste attività a partire da novembre 2014 e che ha sottolineato come APT39 si contraddistingua dagli altri gruppi iraniani per il furto massivo delle informazioni personali. Mentre infatti solitamente questo tipo di organizzazioni si concentra su operazioni di disinformazione per influenzare le opinioni delle persone e su attacchi distruttivi, APT39 si concentra sulle informazioni personali a supporto di operazioni di monitoraggio, tracciamento o sorveglianza al servizio delle priorità nazionali iraniane o, potenzialmente, per creare ulteriori accessi e vettori per facilitare future campagne di attacco.

APT39 è stato istituito per riunire precedenti attività e metodi utilizzati da questo gruppo e le sue attività si allineano ampiamente con quelle di un gruppo chiamato pubblicamente “Chafer”. Tuttavia, vi sono differenze in ciò che è stato riportato pubblicamente a causa delle variazioni nel modo in cui le organizzazioni tracciano l’attività. APT39 utilizza principalmente le backdoor SEAWEED e CACHEMONEY insieme ad una specifica variante della backdoor POWBAT. I suoi obiettivi sono su scala globale, tuttavia le attività si sono concentrate principalmente nel Medio Oriente. APT39 ha dato priorità al settore delle telecomunicazioni, con un’ulteriore focus sull’industria del turismo, le aziende IT che la supportano e l’industria high-tech.

Intento operativo
L’attenzione di APT39 per le industrie delle telecomunicazioni e del turismo suggerisce l’intenzione di effettuare operazioni di monitoraggio, tracciamento o sorveglianza nei confronti di specifici individui, di raccogliere dati proprietari o dei clienti per scopi commerciali od operativi, che rispondano a requisiti strategici legati alle priorità nazionali, o di creare ulteriori accessi e vettori per facilitare campagne di attacco future. Gli enti governativi che vengono presi di mira suggeriscono un potenziale intento secondario di raccogliere dati geopolitici che possano giovare al processo decisionale degli Stati. Considerati i dati oggetto di attenzione da parte di APT39 si presuppone che la missione chiave sia quella di tracciare o monitorare gli obiettivi di interesse, raccogliere informazioni personali, compresivi degli itinerari di viaggio e di raccogliere i dati dei clienti dalle aziende di telecomunicazioni.

Indicatori del legame con l’Iran
FireEye ritiene con una moderata fiducia che le operazioni di APT39 siano condotte a sostegno degli interessi nazionali iraniani sulla base del fatto che gli obiettivi erano concentrati nel Medio Oriente, infrastrutture, tempistiche e somiglianze con APT34, un gruppo che si allinea vagamente con l’attività riportata pubblicamente come “OilRig”. Mentre APT39 e APT34 condividono alcune similitudini, tra cui i metodi di distribuzione del malware, l’utilizzo della backdoor POWBAT, le nomenclature usate per l’infrastruttura e le sovrapposizioni a livello di obiettivi, FireEye considera APT39 come un gruppo diverso da APT34 dato l’uso di una diversa variante di POWBAT. È possibile, però, che questi due gruppi lavorino insieme e condividano certe risorse.

Ciclo di vita dell’attacco
APT39 utilizza diversi malware e tool sia proprietari sia pubblicamente disponibili in tutte le fasi del ciclo di vita dell’attacco.

Initial Compromise: per la compromissione iniziale, FireEye Intelligence ha osservato che APT39 sfrutta email di spear phishing con allegati e/o link malevoli, che comportano un’infezione con POWBAT. APT39 spesso registra e sfrutta domini che si fingono servizi web legittimi e organizzazioni di rilievo per le vittime. Inoltre, questo gruppo ha identificato e sfruttato vulnerabiltà nei server web delle proprie vittime per istallare web shells, come ANTAK e ASPXSPY, e ha utilizzato delle credenziali valide rubate per compromettere gli Outlook Web Access (OWA) esposti su Internet.
Establish Foothold, Escalate Privileges, and Internal Reconnaissance: Dopo la fase della compromissione, APT39 sfrutta backdoor proprietarie come SEAWEED, CACHEMONEY e una specifica variante di POWBAT per stabilire un punto di appoggio nell’ambiente della vittima. Durante la fase di “escalation” dei privilegi, sono stati usati strumenti liberamente disponibili come Mimikatz e Ncrack, oltre a strumenti legittimi come Windows Credential Editor e ProcDump. La fase di Internal Reconnaissance è stata eseguita utilizzando script personalizzati e strumenti liberamente disponibili come il tool di scansione delle porte BLUETORCH.
Lateral Movement, Maintain Presence, and Complete Mission: APT39 effettua movimenti laterali attraverso tantissimi strumenti come Remote Desktop Protocol (RDP), Secure Shell (SSH), PsExec, RemCom e xCmdSvc. Sono stati utilizzati anche strumenti proprietari come REDTRIP, PINKTRIP e BLUETRIP per creare proxy SOCKS5 tra host infetti. In aggiunta, all’utilizzo di RDP per il movimento laterale, APT39 ha utilizzato questo protocollo per mantenersi all’interno dell’ambiente della vittima. A completamento della missione, APT39 solitamente archivia i dati rubati con strumenti di compressione come WinRAR o 7-Zip.
Sono presenti alcuni indicatori che dimostrano una certa propensione di APT39 al bypass dei sistemi di detection messi in campo dai difensori della rete delle vittime. Ad esempio è stata vista usare una versione modificata di Mimikatz, che è stata riprogettata per evitare, in un caso il rilevamento anti-virus e in un secondo caso, dopo aver ottenuto un primo accesso, per recuperare credenziali al di fuori dell’ambiente della vitttima esenza essere identificati.

Previsioni
FireEye ritiene che gli obiettivi principali di APT39 nel settore delle telecomunicazioni e del turismo, riflettano la volontà di raccogliere informazioni personali su obiettivi di interesse e dati dei clienti, a fini di controllo per facilitare operazioni future. Le società di telecomunicazione sono obiettivi di interesse in quanto conservano grandi quantità di informazioni personali e di clienti, forniscono l’accesso a infrastrutture critiche utilizzate per le comunicazioni e consentono l’accesso a un’ampia gamma di possibili obiettivi in diversi settori industriali. APT39 non solo rappresenta una minaccia per le compagnie che ne sono vittima, ma si estende anche ai clienti di queste organizzazioni, che comprendono un’ampia varietà di settori e persone su scala globale. L’attività di APT39 mostra la potenziale portata operativa globale dell’Iran e le modalità in cui utilizza le operazioni informatiche come strumento efficace e a basso costo, per facilitare la raccolta di dati chiave riguardo a ciò che è percepito come una minaccia alla sicurezza nazionale e ottenere una posizione di vantaggio rispetto ai rivali regionali e globali.