Il Global Research and Analysis Team (GReAT) di Kaspersky Lab, multinazionale di sicurezza informatica, ha scoperto Blue Termite, una campagna di spionaggio informatico che per almeno due anni ha preso di mira centinaia di organizzazioni giapponesi. Gli aggressori vanno a caccia di informazioni confidenziali ed utilizzano un exploit zero-day di Flash player e una backdoor personalizzata per ogni vittima. Questa è la prima campagna mirata solo a target giapponesi di cui Kaspersky Lab è a conoscenza e che è ancora attiva.
Nell’ottobre 2014, ricercatori di Kaspersky Lab hanno rilevato un campione di un malware mai visto prima, diverso da tutti per la sua complessità. Ulteriori analisi hanno mostrato che quel campione era solo parte di una campagna di spionaggio informatico più ampia e sofisticata. L’elenco delle società colpite comprende organizzazioni governative, aziende dell’industria pesante, finanza, chimica, di satelliti, media, istruzione, aziende mediche, alimentari ecc. Secondo quanto emerge dalla ricerca questa campagna è stata attiva per due anni.
Diverse tecniche di infezione. Gli esponenti di Blue Termite usano molte tecniche per infettare le loro vittime. Nel periodo antecedente a luglio 2015 facevano uso di email di spear-phishing con le quali inviavano software infetti in allegato con un contenuto che poteva attirare la vittima. A luglio hanno, invece, cambiato tattica ed hanno cominciato a diffondere malware attraverso exploit zero-day Flash (Cve-2015-5119, cioè l’exploit emerso quest’estate con il caso Hacking Team). Gli aggressori hanno compromesso diversi siti giapponesi utilizzando quella che viene definita la tecnica drive-by-download che fa sì che i visitatori vengano infettati scaricando automaticamente l’exploit una volta che giungono sul sito web.
L’implementazione di un exploit zero-day ha portato a metà luglio ad un picco significativo nel livello di infezioni monitorato dai sistemi di rilevamento di Kaspersky Lab. Gli aggressori hanno anche provato a profilare le vittime registrate. Uno dei siti compromessi apparteneva a un importante membro del governo giapponese; un altro conteneva uno script dannoso che permetteva di escludere tutti i visitatori in base all’IP fatta eccezione per quello di una specifica organizzazione giapponese. In altre parole, solo alcuni utenti selezionati hanno ricevuto il payload infetto.
Dopo che l’infezione ha avuto successo, viene implementata una complessa backdoor su una specifica macchina. La backdoor è in grado di rubare password, scaricare ed eseguire ulteriori payload, recuperare file ecc. La cosa più interessante del malware utilizzato da Blue Termite è che a ogni vittima viene fornito un campione unico di malware, fatto in modo da poter essere lanciato solo sul quel Pc specifico, individuato da Blue Termite. Secondo i ricercatori di Kaspersky Lab, questo meccanismo è stato studiato proprio per rendere difficile ai ricercatori l’analisi del malware e la sua scoperta.
Resta sconosciuta l’identità di chi sta dietro questo attacco: l’attribuzione è sempre un compito complicatissimo soprattutto quando si tratta di attacchi informatici sofisticati. Tuttavia, i ricercatori di Kaspersky Lab sono stati in grado di raccogliere alcuni elementi linguistici. In particolare, la graphic user interface del Command and Control server così come alcuni documenti tecnici relativi al malware utilizzato nell’operazione Blue Termite sono scritti in cinese. Ciò fa intendere che chi sta dietro questa operazione parli questa lingua.
Non appena i ricercatori di Kaspersky Lab hanno raccolto le informazioni sufficienti a definire Blue Termite come una campagna di cyber-spionaggio contro organizzazioni giapponesi, i rappresentanti dell’azienda ne hanno informato le forze dell’ordine locali. L’operazione Blue Termite è ancora in corso; di conseguenza lo è anche l’indagine di Kaspersky Lab.
“Anche se Blue Termite non è la prima campagna di spionaggio informatico che ha come target il Giappone, è la prima campagna, secondo quando è a conoscenza di Kaspersky Lab, che sia strettamente mirata a bersagli Giapponesi. In Giappone continua ad essere un problema. Da quando, a inizio giugno, si è cominciato a parlare dell’attacco informatico al Japan Pension Service, alcune organizzazioni giapponesi hanno cominciato a implementare misure di protezione. Tuttavia, gli aggressori di Blue Termite che li stavano monitorando, da quel momento hanno utilizzato nuovi metodi di attacco che hanno potenziato l’effetto”, ha affermato Suguru Ishimaru, Junior Researcher di Kaspersky Lab.
Al fine di ridurre i rischi delle infezione da parte di Blue Termite, gli esperti di Kaspersky Lab consigliano di seguire queste indicazioni: aggiornate costantemente i software, soprattutto quelli usati più spesso dai criminali informatici; se siete al corrente di vulnerabilità nel software del vostro dispositivo per le quali non esiste ancora una patch, evitate di usare questo software; diffidate di email con allegati; utilizzate una soluzione anti-malware affidabile.
