venerdì 28 dicembre 2018

Nuova versione di Shamoon, il malware che cancella i file e rende impossibile l'avvio del sistema operativo


Qualche giorno fa abbiamo descritto Shamoon, un malware dal potenziale altamente distruttivo: un wiper, nel dettaglio, ovvero un malware pensato per cancellare i file presenti nelle macchine infette. Shamoon inoltre sovrascrive il master boot record (MBR) rendendo impossibile il boot del sistema. La prima versione in diffusione, segnalata il 10 Dicembre proprio dall'Italia, ha preso di mira non soltanto home user, ma anche aziende. Tra queste, il "colpo grosso" è stata la compagnia petrolifera italiana Saipem. 


La nuova versione
Il 23 Dicembre un utente francese ha caricato sulla piattaforma di scansione VirusTotal una nuova versione di questo malware, che tentava di camuffarsi da tool di ottimizzazione del sistema di una nota società cinese, Baidu. La particolarità è che questo malware è firmato con un certificato digitale della Baidu stessa emesso il 25 Marzo 2015 e ad oggi non più valido, perchè scaduto il 26 Marzo 2016. 

Le tattiche di offuscamento
L'analisi dei ricercatori ha condotto a scoprire che il malware è stato "impacchettato" con la versione 4 del tool di packaging Enigma Protector, una versione piuttosto obsoleta di questo tool (la cui versione corrente è la 6.40). Svariati sono i tentativi di offuscamento del codice del malware: prima di tutto il tentativo di spacciare Shamoon (i cui obiettivi principali restano le aziende, in Europa e nel Medio Oriente) per un software legittimo. Ad esempio, gli attori dietro Shamoon hanno chiamato il file interno "Baidu PC Faster" e usano la dicitura "Baidu WiFi Hotspot Setup" nella sua descrizione. 


Modifiche di questo tipo, piuttosto superficiali, non sono inedite: sono state riscontrate anche in un precedente campione di Shamoon, impacchettato però usando UPX (Ultimate Packer per eXecutable): in questo caso nella descrizione del file si trovava la dicitura "VMWare Workstation". 

La versione attuale, così sospettano i ricercatori, potrebbe avere a che fare con Shamoon v2, individuato tra il 2016 e il 2017 in attacchi contro organizzazioni private in Medio Oriente: sono le somiglianze di questa versione con il codebase della v2 a indurre i ricercatori in questa direzione. Un ulteriore indizione è la presenza di una immagine, nelle risorse, chiamata "Grant", che rappresenta un dollaro statunitense in fiamme. La precedente versione di Shamoon, chiamata anche Distrrack, conteneva immagini di una baniera statunitense in fiamme e di un bambino rifugiato siriano.



Vi sono però anche alcune differenze: ad esempio questa versione usa un nuovo wiper, chiamato Filerase, per le operazioni di cancellazione e sovrascrittura dei file. Resta in ogni caso identico il funzionamento base del malware: lo scopo di Filerase infatti resta il wiping dell'MBR che rende impossibile il boot di sistema, ma anche che i dati contenuti nell'hard disk non possano essere recuperati neppure posizionando l'unità di storage in una macchina diversa e funzionante. 

Il (probabile) coinvolgimento del gruppo APT33
Non vi sono dati, ad ora, per affermare che questa nuova versione di Shamoon sia già in uso per attacchi reali: non è possibile neppure affermare con certezza che dietro questa versione si celi lo stesso gruppo che ha già attaccato svariate compagnie petrolifere in passato. Pare confermata però l'ipotesi per la quale questa versione altro non sia che una versione modificata del vecchio malware, per quanto non sia possibile avere la certezza che sia stato necessariamente l'autore (o il gruppo) originario ad aver effettuato le modifiche. McAfee in questi giorni ha condotto un'approfondita analisi di ben 3 campioni di Shamoon, arrivando alla conclusione che probabilmente dietro il malware possa celarsi il gruppo hacker iraniano conosciuto come APT33. 

Nessun commento:

Posta un commento