Sfruttavano i forum di assistenza dedicati ai prodotti Microsoft per impartire istruzioni alle macchine infettate da malware: la security company FireEye ha collaborato con Redmond per rimuovere la minaccia, e ha colto l’occasione per fare luce su certe pratiche che i cybercriminali adottano per perseguire i loro scopi ai danni di utenti, istituzioni e ONG di mezzo mondo.
Il gruppo all’origine dell’attacco, localizzato in Cina, è stato classificato con il codice APT17, altresì noto come Deputy Dog: fin dal 2013 basa la proprie attività sul malware BLACKCOFFEE, backdoor che consente di agire sui sistemi delle vittime per monitorarne le attività, avviare e interrompere processi, manipolare file. È sul portale dedicato all’assistenza di Microsoft, TechNet, che venivano nascosti gli indirizzi IP dei server di comando e controllo usati per gestire le intrusioni sulle macchine contaminate dal malware.
I cracker hanno agito registrando degli account sui forum di Microsoft e postando dei commenti nei thread dedicati all’assistenza: mascherati da ordinari utenti, disseminavano commenti apparentemente privi di senso, che fra le stringhe “@MICROSOFT” e “CORPORATION” contenevano gli indirizzi IP opportutamente offuscati. Era il malware già inoculato sulle macchine delle vittime a indirizzare gli utenti ai forum Microsoft dove risiedevano gli indirizzi IP in codice, pronti per essere interpretati dal malware stesso al fine di aprire un canale di comunicazione che permetteva al gruppo di gestire l’attacco.
La tattica adottata dai cracker di APT17, sottolinea FireEye, appare già ampiamente diffusa: il traffico rilevato sulle macchine delle vittime verso siti come TechNet non insospettisce gli amministratori e i tecnici che si occupano di sicurezza, e contribuisce a complicare le ricostruzioni riguardo all’origine delle minacce. La security company e Microsoft si sono già adoperate per ripulire i forum dalle minacce, ma FireEye ha rilevato che istruzioni offuscate a servizio del malware sono disseminate anche su altri siti che incoraggiano alla partecipazione degli utenti, da Twitter a Google Docs, passando per Facebook: spetterebbe anche ai responsabili di queste piattaforme vigilare, ammonisce l’azienda, così da non prestare supporto alle attività dei malintenzionati.
Gaia Bottà