Il nuovo gruppo di hacker di Silence sospettato di avere legami con l’industria della sicurezza informatica

silenzio-gruppo.jpg
Gruppo-IB

Secondo un nuovo rapporto pubblicato oggi, almeno un membro di un gruppo di pirateria informatica recentemente scoperto sembra essere un ex o attuale dipendente di una società di sicurezza informatica.

Il rapporto, pubblicato dalla società di sicurezza informatica Group-IB con sede a Mosca, analizza l’attività di un gruppo criminale informatico precedentemente non segnalato chiamato Silence.

Secondo Group-IB, il gruppo ha trascorso gli ultimi tre anni a montare attacchi informatici silenziosi alle istituzioni finanziarie in Russia e nell’Europa orientale.

Il gruppo è passato inosservato per anni, principalmente a causa della sua predisposizione all’utilizzo di app e strumenti legittimi già presenti sui computer delle vittime, in una tattica nota come “vivere della terra”.

Ma Silence ha anche creato i propri strumenti, come:

  • Silenzio: un framework per attacchi all’infrastruttura;
  • Atmosphere: un insieme di strumenti software per attacchi agli sportelli automatici;
  • Farse: uno strumento per ottenere password da un computer compromesso;
  • Cleaner: uno strumento per la rimozione dei registri.

Questi strumenti, insieme alle tattiche lay-low del gruppo, l’hanno aiutata a rimanere nascosta per molto più tempo rispetto a molte delle sue controparti.

Vedi anche: Utilità di Windows utilizzata dal malware nelle nuove campagne di furto di informazioni

A seguito di un’indagine durata un anno sul modus operandi del gruppo, Group-IB afferma che il gruppo è stato collegato ad hack risalenti al 2016.

Il primo hack registrato attribuito a Silence ha avuto luogo nel luglio 2016. L’hacking è stato un tentativo fallito di prelevare denaro tramite il sistema di transazioni interbancarie russo noto come AWS CBR (Client Automated Work Station of the Russian Central Bank).

“Gli hacker hanno ottenuto l’accesso al sistema, ma l’attacco non ha avuto successo a causa di un’errata preparazione dell’ordine di pagamento. Il

i dipendenti della banca hanno sospeso la transazione”, ha spiegato Group-IB nel suo rapporto.

Tuttavia, gli sforzi di riparazione della banca non sono stati all’altezza e Silence ha riottenuto l’accesso alla rete della stessa banca un mese dopo, nell’agosto 2016. Questa volta, hanno adottato un altro approccio.

“[Silence] ha scaricato il software per acquisire di nascosto schermate e ha proceduto a indagare sul lavoro dell’operatore tramite streaming video. Questa volta, la banca ha chiesto a Group-IB di rispondere all’incidente. L’attacco

fu fermato. Tuttavia, il registro completo dell’incidente era irrecuperabile, perché nel tentativo di pulire la rete, il team IT della banca ha cancellato la maggior parte delle tracce dell’attaccante”, ha affermato Group-IB.

Ma il gruppo Silence non si è fermato dopo questi primi goffi tentativi di hacking. Sono riusciti a penetrare in una banca e alla fine a rubare dei soldi, più di un anno dopo, nell’ottobre 2017.

Secondo Group-IB, il gruppo ha smesso di tentare di trasferire denaro utilizzando il sistema AWS CBR ed è passato a prendere di mira i sistemi di controllo bancomat della banca, facendo in modo che i bancomat emettano denaro (noto come jackpotting) nelle ore desiderate.

Gli investigatori affermano che Silence ha rubato oltre $ 100.000 durante il loro primo furto informatico di successo. Altri hack che seguivano lo stesso schema sono stati successivamente scoperti e ricondotti al gruppo Silence nei mesi successivi, come il furto di oltre $ 550.000 nel febbraio 2018 e altri $ 150.000 nell’aprile 2018.

Vedi anche: FIN6 torna ad attaccare i sistemi di punti vendita dei rivenditori negli Stati Uniti, in Europa

Il gruppo non ha lo stesso successo di altri gruppi criminali noti per prendere di mira istituzioni finanziarie, come Cobalt, Buhtrap o MoneyTraper, tutti collegati a rapine multimilionarie.

Il motivo, secondo gli esperti di Group-IB, è che Silence è solo un’operazione di due uomini, quindi non hanno le stesse vaste risorse umane da lanciare sui loro obiettivi come fanno gli altri gruppi.

Questo è il motivo per cui hanno impiegato più di un anno per sviluppare il malware Atmosphere che hanno utilizzato nel 2017 e negli attacchi di erogazione di denaro ATM successivi.

silenzio-attacchi.png

Timeline di attacchi e strumenti di silenzio

Gruppo-IB

Ma è stato quando i ricercatori di Group-IB hanno analizzato l’intero arsenale di malware del gruppo che hanno scoperto che, nonostante fosse un gruppo di due uomini, Silence era in realtà piuttosto bravo in quello che faceva.

I ricercatori affermano che il gruppo è stato molto efficiente nel creare e-mail di spear-phishing. Queste e-mail di spear-phishing utilizzavano exploit per le seguenti vulnerabilità di Windows e Office CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 e CVE-2018-8174 .

Gli exploit hanno impiantato il framework malware modulare Silence sui sistemi delle vittime. Il gruppo avrebbe utilizzato strumenti installati localmente per la ricognizione e il movimento laterale e avrebbe distribuito Atmosphere solo quando sapeva di aver infettato il computer corretto che eseguiva il software specifico di ATM.

Se necessario, il gruppo modificava anche manualmente il malware sviluppato da altri truffatori, come la backdoor Kikothac, il downloader di fumo o il bot DDoS di Undernet.

Group-IB afferma che queste modifiche al malware di terze parti sono ciò che ha portato i suoi ricercatori a giungere alla conclusione che almeno uno dei membri del gruppo Silence era, o lavora ancora, nel settore della sicurezza informatica.

silenzio-membri.png
Gruppo-IB

Group-IB nomi in codice dei membri del gruppo Silence come The Developer e The Operator. Dicono che il primo abbia sviluppato o modificato tutti i malware del gruppo, mentre il secondo è stato quello che li ha usati per infettare le banche e compiere gli hack.

Lo sviluppatore, in particolare, ha mostrato una conoscenza avanzata delle famiglie di malware e capacità di reverse engineering, ma non aveva la conoscenza per scrivere codice di alta qualità da zero, una caratteristica tipica della maggior parte dei ricercatori di sicurezza, che trascorrono la maggior parte del loro tempo a decodificare il codice di altre persone , piuttosto che scriverne uno proprio.

“È ovvio che i criminali responsabili di questi crimini a un certo punto erano attivi nella comunità della sicurezza. Sia come tester di penetrazione che come reverse engineer”, ha affermato Dmitry Volkov, Chief Technology Officer e Head of Threat Intelligence presso Group-IB.

“[The Developer] sa esattamente come sviluppare software, ma non sa come programmare correttamente.”

Vedi anche: questo malware si traveste da sicurezza bancaria per razziare il tuo account

Per quanto riguarda l’origine di Silence, Group-IB ritiene che i due abbiano sede in Russia o in un altro paese di lingua russa.

“Gli esperti del Gruppo IB hanno concluso che Silence è un gruppo di hacker di lingua russa, in base al linguaggio dei comandi, alla posizione dell’infrastruttura utilizzata e alla geografia dei loro obiettivi (Russia, Ucraina, Bielorussia, Azerbaigian, Polonia e Kazakistan) “, ha dichiarato oggi l’azienda russa di sicurezza informatica in un comunicato stampa.

“Inoltre, Silence ha utilizzato parole russe digitate su un layout di tastiera inglese per i comandi della backdoor impiegata. Gli hacker hanno anche utilizzato servizi di web hosting in lingua russa”.

Group-IB non ha condiviso i nomi delle banche hackerate, ma ha solo affermato che “gli attacchi di successo attualmente sono stati limitati alla CSI e ai paesi dell’Europa orientale”, sebbene il gruppo abbia inviato e-mail di spear-phishing alle banche di tutto il mondo.

Leave a Reply