Articles

Da scherzi ad APT: Come i trojan ad accesso remoto sono diventati una grande minaccia per la sicurezza

Cos’è un RAT?

Alla fine degli anni ’90, quando internet era ancora giovane, era comune per i ragazzi esperti di tecnologia spaventare i loro amici controllando i loro PC da remoto. Espellevano il vassoio del CD, scambiavano i pulsanti del mouse o cambiavano i colori del desktop. All’utente inconsapevole, sembrava che un fantasma stesse prendendo il controllo della macchina.

Questi sono stati gli anni che hanno segnato la nascita dei Trojan di accesso remoto (RAT), software maligni che permettono a un aggressore di ottenere un accesso non autorizzato al computer di una vittima su Internet. I RAT sono tipicamente installati senza il consenso dell’utente e rimangono nascosti per evitare il rilevamento.

Queste cose li distinguono da un tipo di software benigno con un nome piuttosto simile, Remote Access/Administration Tool. Questa categoria comprende programmi per computer come TeamViewer o LogMeIn che sono legittimamente utilizzati dagli amministratori di sistema, così come gli adolescenti che cercano di riparare i PC dei loro nonni.

È il software di accesso remoto dannoso che interessa i ricercatori di sicurezza Veronica Valeros e Sebastian García dell’Università Tecnica Ceca di Praga. I due hanno trascorso gli ultimi anni cercando di analizzare l’evoluzione di questo tipo di malware, studiando non meno di 337 famiglie ben note, guardando cose come le funzionalità, la qualità del software e lo scopo.

Valeros ha detto durante una presentazione del Virus Bulletin 2020 che il numero di famiglie RAT è cresciuto rapidamente negli ultimi anni. Ha contato più di 250 RAT che sono emersi negli anni 2010 rispetto ai soli 70 degli anni 2000. “Il numero di RAT è davvero, davvero decollato”, ha detto Valeros. “Mentre la maggior parte dei precedenti si concentrava su Windows, abbiamo visto una certa diversità – altre piattaforme come Mac, Linux e Android sono state supportate.”

Mentre le famiglie di ransomware vanno e vengono, i RAT sono noti per la loro longevità e riemergenza, dice un altro ricercatore, Lindsay Kaye, il direttore dei risultati operativi per Insikt Group di Recorded Future. “Alcuni dei RAT sono usciti da dieci anni ormai, e vengono ancora utilizzati”, dice. “

I RAT sono diventati essenziali per qualsiasi tipo di attività cybercriminale, essendo utilizzati dai criminali informatici, dagli hacker degli stati nazionali e dagli stalker. Il mercato è maturato. I RAT hanno fatto molta strada da quando NokNok ha bussato ai computer Windows e ha lanciato questo nuovo capitolo della storia della sicurezza informatica.

RAT creati per divertimento

Il più antico software di accesso remoto legittimo è stato costruito alla fine degli anni ’80, quando apparvero strumenti come NetSupport. Poco dopo, nel 1996, sono state create le prime controparti maligne. NokNok e D.I.R.T. furono tra i primi, seguiti da NetBus, Back Orifice e SubSeven.

Questi strumenti furono costruiti per divertimento o solo per mostrare che si può fare. Eppure, erano “innovativi e dirompenti”, dice Valeros. NetBus, per esempio, è stato creato da Carl-Fredrik Neikter nel 1998, e il suo nome, tradotto dallo svedese, significa “NetPrank.”

Lo sviluppatore ha affermato che non voleva che NetBus fosse usato in modo malevolo, dicendo che era “uno strumento legittimo di amministrazione remota”, ha scritto il ricercatore di sicurezza Seth Kulakow in un documento pubblicato con il SANS Institute. “Tuttavia, se non l’avete già capito, è ancora uno strumento molto bello da usare per l’altro scopo”, ha scritto Kulakow.

Che è esattamente quello che è successo. Nel 1999, qualcuno scaricò NetBus e prese di mira Magnus Eriksson, un professore di legge all’Università di Lund in Svezia. L’aggressore piantò 12.000 immagini pornografiche sul suo computer, 3.500 delle quali contenevano pornografia infantile. Gli amministratori di sistema le hanno scoperte, e il professore di legge ha perso il suo lavoro.

“Per me è stato incredibile”, ha detto Eriksson alla pubblicazione svedese Expressen. Lo scandalo mediatico che ne seguì lo costrinse a lasciare il paese, e anche se fu assolto nel 2004, il danno fu notevole. “Non potrò mai recuperare gli anni persi”, ha detto Eriksson.

NetBus ha ispirato altri, compreso il famigerato Sub7 o SubSeven. Infatti, si crede che Sub7 sia NetBus scritto al contrario, con il “dieci” sostituito dal “sette”. SubSeven, presumibilmente costruito da mobman, ha portato il gioco ad un livello completamente nuovo. Ha raggiunto una popolarità globale, e le sue caratteristiche lo distinguono chiaramente dal legittimo strumento di accesso remoto. SubSeven potrebbe essere usato, per esempio, per rubare le password e nascondere la propria identità, cose che un amministratore di sistema ragionevole non dovrebbe fare.

“Una volta che SubSeven è installato, gli hacker possono avviare attacchi che vanno da leggermente irritanti a estremamente dannosi”, ha scritto il ricercatore di sicurezza Jamie Crapanzano nel suo documento Deconstructing SubSeven, the Trojan Horse of Choice. “Le capacità più notevoli fornite da SubSeven sono la capacità di riavviare Windows sul computer della vittima, invertire i pulsanti del mouse, registrare file audio dal microfono collegato alla macchina compromessa, registrare immagini da una videocamera collegata, cambiare i colori del desktop, aprire/chiudere l’unità CD-ROM, registrare screenshot del computer della vittima e spegnere/accendere il monitor della vittima”, ha scritto Crapanzano.

Non si trattava solo di divertirsi. Intorno a quel periodo, altri hacker hanno affermato di aver costruito RAT per fare una dichiarazione. Il Culto della Mucca Morta ha creato Back Orifice, un nome che prende ispirazione dal software BackOffice Server di Microsoft.

Back Orifice era principalmente il lavoro di Josh Buchbinder, un hacker meglio conosciuto come “Sir Dystic,” un handle basato su un personaggio dei fumetti degli anni ’30. Questo personaggio cerca di fare cose malvagie “per il bene di tutti”. Questo personaggio cerca di fare cose malvagie “ma si sbaglia sempre e finisce per fare del bene inavvertitamente”, ha detto Buchbinder nel film Disinformation.

I membri del Cult of the Dead Cow hanno lanciato Back Orifice al DEF CON 6 a Las Vegas nell’agosto 1998, e hanno detto che aveva lo scopo di aumentare la consapevolezza delle falle di sicurezza trovate nel software Microsoft. “La nostra posizione è che Windows è un prodotto fondamentalmente rotto”, ha detto Death Veggie, il ministro della propaganda del Culto.

Alla fine degli anni ’90, c’erano almeno 16 RAT, dice il ricercatore di sicurezza Valeros. Durante il decennio successivo, tuttavia, gli autori di malware si sono concentrati meno sul fattore divertimento e più sul fare soldi.

RAT per profitto e spionaggio

Negli anni 2000, gli autori di RAT non erano ragazzi ingenui che volevano vedere quanto lontano potevano andare. La maggior parte di loro aveva familiarità con strumenti come NetBus, SubSeven o Back Orifice, e sapeva esattamente cosa stava facendo. Ha mantenuto alcune delle caratteristiche dei primi Trojan – ha “Fun Stuff” e “Lamer Stuff” – ma era in grado di fare cose più complesse, dice Valeros. Usava un’architettura client/server, proprio come Back Orifice, ma era tra i primi a includere una connessione inversa alle sue vittime. Il client si connette al computer attaccato alla porta numero 6666 (abbastanza vicino al numero della bestia), mentre il server apre le connessioni indietro al client utilizzando la porta numero 9999. Beast era anche in grado di bypassare un firewall e uccidere i processi antivirus, ed era dotato di un raccoglitore di file che poteva unire diversi file in un unico eseguibile.

Più caratteristiche avevano i RAT, più diventavano attraenti. Presto, hanno iniziato ad essere utilizzati come parte di attacchi più complessi da parte di criminali informatici e attaccanti sponsorizzati dallo stato. C’era una chiara distinzione tra autori e operatori, dice Valeros.

Gh0st era tra i trojan di accesso remoto più prolifici del suo tempo. È stato sviluppato da un gruppo cinese che si chiamava C. Rufus Security Team. La prima versione è emersa nel 2001, secondo Valeros, ma ha guadagnato popolarità solo pochi anni dopo.

Gh0st è noto per la sua parte nell’operazione GhostNet scoperta nel 2009, che ha preso di mira organizzazioni politiche, economiche e dei media in più di 100 paesi. Gli aggressori si sono tranquillamente infiltrati nei sistemi informatici collegati alle ambasciate e agli uffici governativi. Anche i centri di esilio tibetano del Dalai Lama in India, Londra e New York sono stati violati. Secondo diverse ricerche, il malware raccoglieva informazioni, le criptava e le inviava al server di comando e controllo.

Nella fine degli anni 2000, questo RAT era disponibile per essere scaricato e utilizzato da chiunque fosse interessato all’hacking, ha scritto il ricercatore David Martin nel suo articolo, Gh0st in the Dshell: Decoding Undocumented Protocols: “È relativamente facile individuare una copia con niente di più che una ricerca e la volontà di scaricare software da uno dei numerosi siti web sospetti.”

Un altro famigerato RAT fu PoisonIvy, che emerse nel 2005. Era facile da scaricare gratuitamente dal suo sito web, e il fatto che fosse accessibile lo ha aiutato a guadagnare trazione. I ricercatori di FireEye hanno scritto che, nel 2011, è stato utilizzato nell’attacco contro l’organizzazione di sicurezza RSA, e nella campagna di spionaggio informatico Nitro che ha preso di mira le agenzie governative, gli appaltatori della difesa, i produttori chimici e i gruppi per i diritti umani.

Il RAT DarkComet era anche facile da scaricare e utilizzare. È stato sviluppato nel 2008 da Jean-Pierre Lesueur, e pochi anni dopo è stato utilizzato dal governo siriano per spiare i suoi cittadini. Si ritiene che diverse persone siano state arrestate a causa di esso. Il RAT poteva prendere screenshot e rubare le password, tra le altre cose.

Poco dopo che il collegamento con il regime siriano è stato stabilito, Lesueur ha smesso di sviluppare il RAT, dicendo in un’intervista per Wired: “Non ho mai immaginato che sarebbe stato usato da un governo per spiare. Se l’avessi saputo, non avrei mai creato un tale strumento.”

Anche se ha smesso di sviluppare DarkComet, altri hanno ripreso da dove aveva lasciato. Il RAT è finito nelle mani di diversi gruppi di hacker, tra cui APT38, sponsorizzato dal governo nordcoreano.

L’impatto di questi strumenti può essere devastante. Ancora più preoccupante è che i loro prezzi sono spesso ridicolmente bassi. Si può comprare un RAT per soli 20 dollari, dice Valeros.

La mercificazione dei RAT

Il numero di nuove famiglie di RAT è esploso tra il 2011 e il 2020. “Abbiamo più di 250 RAT in meno di dieci anni”, dice Valeros. CyberGate, NetWire, NanoCore, ImminentMonitor, Ozone RAT, OmniRAT, Luminosity Link, SpyNote, Android Voyager e WebMonitor erano tra questi.

Luminosity Link, visto per la prima volta nel 2015, ha infettato non solo un paio di macchine, ma forse centinaia. “Sembra uno strumento molto professionale”, dice Valeros. Aveva un’interfaccia facile da usare, e gli sviluppatori hanno pensato a come visualizzare al meglio le informazioni sulle vittime.

In effetti, gli imprenditori del RAT spesso ascoltavano i clienti quando decidevano quali caratteristiche includere. Ci si aspettava anche che facessero molto di più che fornire semplicemente il software. A volte, hanno anche aiutato con l’hosting di parte dell’infrastruttura.

A volte, hanno voluto mantenere le linee confuse, sostenendo di aver costruito strumenti di accesso remoto, non Trojan. Quasar, per esempio, è ancora pubblicizzato come un software legittimo che potrebbe essere utilizzato per una vasta gamma di cose tra cui il supporto degli utenti, il lavoro amministrativo e il monitoraggio dei dipendenti. Eppure, lo stesso pezzo di software è stato visto in attacchi pericolosi come quelli che hanno preso di mira l’Ucraina nel 2015. Lo stesso RAT è stato utilizzato anche dall’attore cinese APT10. QuasarRAT è versatile: funziona su Windows XP SP3, Windows Server 2003/2008/2012, e Windows 7, 8/8.1 e 10.

La maggior parte dei RAT sono costruiti per le macchine Windows, ma alcuni, come NetWire e WebMonitor, sono multipiattaforma e lavorano su Mac, Linux e Android. Gli ultimi anni hanno visto una crescita dei RAT Android. Android Voyager, visto per la prima volta nel 2017, era tra quelli più noti, ma ora ha una seria concorrenza. GravityRAT ha recentemente iniziato a prendere di mira gli utenti Android. I ricercatori di sicurezza hanno notato un pezzo di codice maligno inserito in un’app di viaggio Android per gli utenti indiani.

Valeros dice che si aspettava più diversità quando ha iniziato a studiare i RAT. Ha presto scoperto che i prodotti attualmente venduti sono per lo più “standardizzati”, che non sono “molto diversi l’uno dall’altro.”

La maggior parte ha la stessa struttura. Il programma installato sulla macchina della vittima è chiamato server, ed è progettato per connettersi all’attaccante. Il client è il software che l’aggressore usa per monitorare e controllare le vittime, per visualizzare le infezioni e per eseguire manualmente le singole azioni.

Oltre a questi elementi di base del RAT, ce ne sono anche alcuni più sofisticati, come builder, crypter e plugins. Il costruttore crea rapidamente nuovi server RAT, mentre i plugin aggiungono capacità. Il crypter viene utilizzato per evitare il rilevamento da parte degli antivirus. I crypter leggono il codice di un programma e lo criptano con una chiave. Creano un nuovo programma che include il codice crittografato e la chiave, che verrà automaticamente decrittografato al momento dell’esecuzione.

Alcuni hacker statali tendono a utilizzare RAT comuni che seguono questa struttura piuttosto che sviluppare strumenti da zero, dice Valeros. “Se vuoi davvero nasconderti, forse comprare un RAT da qualche forum è la strada da percorrere.”

Valeros ha esaminato i RAT che sono stati venduti nel 2019 e 2020 su marketplace come DaVinciCoders, Secret Hacker Society, buyallrat588, Dorian Docs, FUD Exploits e Ultra Hacks. Android Voyager, per esempio, aveva un prezzo tra i 30 e i 250 dollari.

La variazione di prezzo è spesso legata ai plugin e ai servizi aggiuntivi, come il supporto tecnico. “I RAT di maggior successo non hanno un enorme vantaggio tecnologico, ma migliori recensioni, raccomandazioni e, alla fine, migliore marketing”, ha scritto Valeros nel suo documento Virus Bulletin 2020.

Mentre molti attori di minacce continueranno a utilizzare RAT di base, alcuni ne costruiranno di propri, dice Kaye di Recorded Future. “L’APT MuddyWater ha usato una sorta di funzionalità RAT su misura”. Negli anni a venire, si aspetta di vedere RAT con moduli complessi ma anche semplici scritti in Python. “Per quelli più modulari, ci sono persone che scrivono nuovi moduli, perché alcuni RAT sono open source”, dice Kaye.

Come mitigare il rischio dai RAT

In principio, i RAT consistevano nell’aprire il vassoio dei CD e rubare le password. “Oggi, possono fare quasi tutto”, dice l’evangelista della sicurezza Avast Luis Corrons. Nel 2020, ha visto gli aggressori usare soprattutto njRAT, NanoCore RAT, Blackshades e SpyNet. A volte le aziende sono lente a rilevare i RAT. “Abbiamo visto attacchi in cui qualcuno è stato all’interno di un’azienda per mezzo anno o un anno e nessuno l’ha notato”, dice.

Ecco perché Corrons raccomanda di monitorare meticolosamente la rete aziendale. “Tutti verranno infettati, e prima lo si scopre, meglio è, perché se lo si scopre molto presto, si può evitare la maggior parte dei danni”, dice.

Lui e Kaye di Recorded Future dicono che la maggior parte degli attacchi si basa ancora su tecniche di ingegneria sociale, quindi educare gli utenti è fondamentale. “Fate sapere ai dipendenti come il loro team di servizi IT li contatterà”, dice Kaye.

Europol, l’agenzia di polizia dell’Unione Europea, elenca alcune altre cose che gli utenti potrebbero fare:

  • Assicuratevi che il firewall sia attivo
  • Tenete aggiornato il software.
  • Scaricare software solo da fonti affidabili.
  • Regolarmente eseguire il backup dei dati.
  • Non cliccare su link sospetti, pop-up o finestre di dialogo.
  • Non cliccare su link o allegati all’interno di email inaspettate o sospette.

Europol elenca anche alcuni segni di infezione:

  • La connessione internet potrebbe essere insolitamente lenta.
  • I file potrebbero essere modificati o cancellati.
  • I processi sconosciuti potrebbero essere visibili nel Task Manager.
  • I programmi sconosciuti potrebbero essere installati e potrebbero essere trovati nel Pannello di controllo.

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *