Progetto Sauron. Così si chiama il nuovo Advanced persistent threat (Apt) scovato dai Kaspersky e Symanteclabs. Una piattaforma di cyber-spionaggio di altissimo livello attiva dal 2011 sino a tutto il 2016 in diversi paesi del mondo. Kaspersky definisce questo Apt “top-of-the-top”, ovvero una piattaforma altamente ingegnerizzata, modulare, in grado di funzionare in diversi scenari, anche air-gappedossia sconnessi da internet.
Le prime tracce dell’Apt sono state rilevate tramite intercettazione del traffico di rete anomalo di una importante istituzione governativa (non specificata per ovvi motivi di riservatezza). L’Apt, presente come libreria solo in memoria, era registrata sotto forma di “Password Filter” in un Domain Controller di Windows; quindi in grado di intercettare i cambi password degli utenti del dominio e ottenere le loro password in chiaro.
Sauron è una vera e propria piattaforma modulare che utilizza il linguaggio di programmazione “Lua” (di origine brasiliana); linguaggio di scriptin opportunamente modificato per interpretare anche stringhe in UTF-16. La scelta di Lua e l’alta modularizzazione indicano quindi una estrema scalabilità del codice per l’adattabilità a contesti diversi che richiedono una veloce riscrittura dei moduli. Come quasi tutti gli Apt per finalità di cyper-spionaggio, fa data-exfiltration, anche di tipo covert, ovvero in modo quasi del tutto impercettibile preleva dati e documenti sensibili degli utenti e li invia all’esterno tramite dei server di C&C (Comando e Controllo).
Sauron sembra prediligere solo alcune regioni del mondo ed ogni volta gli artefatti sono customizzati per la singola area geografica, quindi un vero e proprio strumento in grado di portare attacchi altamente targeted. Anche qui un segno indelebile della assai probabile origine governativa di questo Apt.
Le vittime degli attacchi sono localizzate in circa trenta regioni del mondo, tra cui, ed è questo l’elemento per noi assai rilevante, paesi italofoni che hanno l’italiano come ulteriore lingua. Le organizzazioni attaccate sono appunto governative, di ricerca, militari, telco e finanziarie.
Scendendo nei dettagli tecnici del progetto Sauron, esso si presenta appunto come “Windows LSA Password Filter” nei domain controller Windows ed è in grado di intercettare tutti i cambi password che avvengono nel dominio. I password filter sono lo strumento utilizzato tipicamente e lecitamente per personalizzare i meccanismi di autenticazione in reti con server di dominio Windows. Di solito costituiscono la modalità con cui implementare politiche di enforcing delle password e ulteriori personalizzazioni. Ma sono anche utilizzati spesso da rootkit che in modo silente ed illecito installano un loro password filter, che ha come unico scopo quello di intercettare le password in chiaro degli utenti e comunicarle all’esterno.
Sauron viene distribuito sui pc della rete tramite la modifica degli script di aggiornamento dei software di sistema utilizzati tipicamente dagli amministratori dei domini Windows. In ogni pc della rete viene iniettato un piccolo downloaderche si connette ad un ip interno o esterno per scaricare ed eseguire il pay load malevolo di Sauron. Inoltre è in grado di operare in reti disconnesse da internet, ovvero in modalità “air-gapped”. Per fare questo formatta in modo particolare le chiavi usb, riservando una partizione cifrata e nascosta ai dati esfiltrati. In questo modo la partizione cifrata, non visibile agli utenti, sarà in grado anche di eludere i controlli messi in atto da prodotti di “Data LossPrevention” che monitorizzano proprio l’utilizzo delle chiavi disco usb. La chiavetta poi, una volta connessa ad un pc con internet, si attiva prendendo i dati sensibili presenti nella partizione cifrata ed inviandoli ai server di C&C.
Per l’esfiltrazione di dati, oltre ai comuni protocolli di rete, vengono utilizzate anche tecniche come il Dns tunneling e le e-mail. Nel caso del Dns, per impedire di essere intercettato viene utilizzata una tecnica che riduce la frequenza dei pacchetti inviati verso l’estero chiamata di “low-bandwith” con pacchetti di 30 byte. Sebbene l’esfiltrazione di dati tramite e-mail sia una tecnica comune da parte di Apt di questo livello, Sauron utilizza una tecnica leggermente diversa, ovvero delle email con user-agent “Thunderbird 2.0.0.9”, un breve messaggio di testo nel corpo della e-mail e allegato un file “data.bin” con enconding base-64 del dato esfiltrato.
Sinora è stato analizzato Sauron dal punto di vista dei vettori e delle tecniche di attacco. Ma ogni Apt e malware che si rispetti ha una struttura di server di C&C (anche chiamata C2) per il comando e controllo della rete di malware, bot o Apt distribuiti sui pc spesso in modo geografico. I dati esfiltrati del resto devono essere poi collazionati dagli attori che sono dietro a Sauron. Gli Isp che detengono i domini e i server interessati dai C&C di Sauronsono circa 11 per un totale di 28 domini. Numeri questi che rappresentano sicuramente un sottoinsieme di quelli reali.
Ma chi si cela dietro al progetto Sauron? Difficile attribuirne la paternità, come del resto per la maggior parte degli APT di questo livello (vedi Regin e Flame). Di certo la possibilità che sia un software sviluppato da un governo con finalità di cyber-spionaggio (non disdegnano anche le finalità economiche) è molto alta. Il fatto poi che venga utilizzata una versione di Lua modificata per interpretare correttamente l’encodingUTF-16, fa pensare inoltre che questo Apt sia stato scritto in paesi di origine latina e solo dopo sia stato ampliato per comprendere enconding e quindi lingue diverse.
Dopo Regin e Flame, Sauron rappresenta molto probabilmente un altro Apt “governativo” che delinea ancora di più le strategie di cyber-spionaggio approntate dai servizi segreti di tutti i Paesi, dimostrando, se ce ne fosse ancora bisogno, che le cyber-weapon sono estremamente importanti nel panorama moderno della sicurezza mondiale e dello spionaggio governativo.