L’attacco informatico ”Fire Sale” colpisce l’intera industria in tutto lo stato dell’Ucraina

Ciao! Forse non mi conosci, ma per essere breve, diciamo che mi occupo di indagini forensi digitali, investigazioni e consapevolezza della sicurezza da oltre 25 anni. Qualche settimana fa sono stato chiamato per fare un’analisi forense per un cliente (parlavano di un mistero legato a strane azioni e reazioni del sistema). Dopo un’ulteriore analisi con entrambi i team, hanno visto infezioni che sembravano utilizzare Active Directory per diffondersi molto rapidamente nella rete e abbiamo supposto fosse un attacco mirato. Quello che non sapevamo era che la fase 1 di ciò che tutti credevamo essere una finzione o un brillante script del film Die Hard 4.0 nel 2007 fosse appena divenuta reale (non si può inventare questa roba…). Lo chiamavano Fire Sale, un attacco informatico contro un’intera nazione (ciao guerra ibrida e guerra cibernetica) questo attacco alla fine ha portato a un collasso di tutti i controlli informatici, portando a un crollo economico e ad altre gravi conseguenze (come distruggere un’intera industria…). Quanto è reale eseguire un tale attacco? Beh, uno dei leader del settore anti-malware, Eugene Kaspersky potrebbe aver predetto il futuro circa 1,5 anni fa. Ma concentriamoci sui fatti per un momento: era una normale domenica quando uno degli analisti di sicurezza del settore dei media mi ha coinvolto in una teleconferenza con un’altra azienda di cui faccio parte del consiglio. Non che mi abbia sorpreso che stessero lavorando a metà domenica (anche io, quindi non chiedete), erano piuttosto i fatti a essere veramente interessanti e spaventosi: l’intero settore dei media e i canali TV stavano segnalando simultaneamente di essere sotto un attacco informatico sconosciuto che ha interrotto le operazioni informatiche e si è comportato in maniera molto imprevedibile. L’attacco è iniziato domenica 25 ottobre^th, proprio mentre in Ucraina si svolgevano le elezioni a livello statale (coincidenza?). Mentre diversi gruppi hacktivisti hanno cercato di prendersi il merito dell’attacco, non ci sono prove (conclusive) sufficienti per attribuirlo a un partito specifico – lasciamo che siano i “servizi speciali” e i politici a capirlo.

Come ho menzionato, l’attacco era un’infezione nascosta e a più fasi dell’infrastruttura aziendale che colpiva un obiettivo dopo l’altro, causando il riavvio dei computer e rendendoli impossibili da avviare. In questo momento, due cose sembravano ovvie: stavamo affrontando un attacco informatico mirato, forse con motivazioni politiche e mirato a interrompere un’intera industria. Tuttavia, l’indagine ha portato alla luce una miriade di dettagli che sfidano la dichiarazione iniziale…

Sintomi dell’attacco e impressione iniziale

Mentre aspettiamo qualche verifica dei risultati ufficiali con alcune agenzie a 3 lettere con cui stiamo lavorando, oltre a ingegneri esperti in reverse engineering forense e sicurezza e una comunicazione completa sarà fatta da un CERT locale, condividerò come apparivano le cose dalla prima linea.

Gli obiettivi erano molteplici piattaforme Microsoft Windows, senza dipendenze di versione o funzione, compresi Controllers di Dominio Active Directory, Desktops, workstation per il video editing, computer di contabilità ecc.

Il comportamento tipico osservabile delle risorse infettate era uno Spegnimento Improvviso del Sistema Operativo dopo il quale il sistema diventava inavviabile: mancava l’MBR (mi chiedo perché…). Un secondo sintomo era il riempimento al 100% della partizione di sistema, il che, come sappiamo, fa comportare il sistema in modo anormale e secondo la raccomandazione di Microsoft “Chiede di contattare un Amministratore di Sistema”. Dal punto di vista del team di sicurezza interno sembrava che le macchine Windows andassero in crash completo senza motivi o relazioni evidenti. Un terzo e non meno importante sintomo era che tutti i colleghi nello stesso settore si chiamavano a vicenda per segnalare quegli stessi primi 2 sintomi…

Alcune cose erano chiare per me a questo punto:

• Era un attacco mirato, accuratamente pianificato e orchestrato ben prima della data in cui è stato effettivamente messo in atto.
• Questa non è un’esploitazione di una vulnerabilità 0-day. L’attacco è a più fasi coinvolgendo sia l’ingegneria sociale e insider che un sistema multilivello, modulare e sincronizzato di armamento, consegna e comando e controllo, saluti al modello Cyber Kill Chain 😉
• Il momento dell’attacco non è casuale: è avvenuto esattamente nel giorno delle elezioni statali locali mirato o a interrompere la copertura mediatica delle elezioni (che non è mai avvenuta) o la data è stata usata come esca per distrarre dallo scopo principale dell’attacco. Questo potrebbe anche essere una dannata presentazione delle capacità di una nuova arma cibernetica su scala nazionale.

Ho raccomandato ai miei colleghi di prepararsi, mettere da parte qualsiasi dubbio e concentrarsi su 2 cose: riduzione dei danni collaterali e massima raccolta di prove. Abbiamo cercato di ottenere tutto ciò che possiamo: PCAP, istantanee, schermate, registri di Windows, avvisi SIEM & IPS, dump di memoria e ovviamente campione di malware. Ovviamente gli antivirus tradizionali e altri sistemi di difesa attiva erano silenziosi. Durante le prime 24 ore dell’attacco siamo riusciti a ottenere un virus chiamato “ololo.exe” e caricarlo su VirusTotal, solo per scoprire che nessun antivirus era a conoscenza di questo malware. Continueremo con i risultati dell’analisi reverse del malware e i risultati dell’indagine iniziale…

Risultati dell’indagine iniziale e analisi reverse del malware di Fire Sale Ucraina >>