L’ultimo white paper prodotto dai Laboratori di F-Secure indica che CozyDuke è tra gli Advanced Persistent Threat che stanno prendendo di mira i governi e altre grandi organizzazioni
Da una nuova analisi sui malware condotta dai Labs di F-Secure, CozyDuke risulta una minaccia continua che sta prendendo di mira governi e altre grandi organizzazioni. CozyDuke è un attacco mirato di tipo Advanced Persistent Threat (APT) che usa una combinazione di tattiche e malware per compromettere e rubare informazioni dalle sue vittime, la nuova analisi di F-Secure lo collega ad altri APT responsabili di attacchi di alto profilo.
Secondo l’analisi degli F-Secure Labs, CozyDuke condivide risorse di comando e controllo con gli APT MiniDuke e OnionDuke. I Laboratori di F-Secure hanno attribuito numerosi attacchi di alto profilo a queste piattaforme APT, inclusi attacchi malware contro persone che usano l’exit node russo Tor e attacchi mirati contro la NATO e agenzie governative europee. CozyDuke utilizza molto della stessa infrastruttura usata da queste altre piattaforme e impiega componenti con algoritmi di crittografia simili a quelli usati da OnionDuke, il che collega la stessa tecnologia a diverse campagne.
“Tutte queste minacce sono collegate l’una all’altra e condividono risorse, ma sono costruite in modo leggermente differente per renderle più efficaci contro obiettivi particolari”, spiega Sean Sullivan, Security Advisor di F-Secure. “La cosa interessante relativa a CozyDuke è che viene usato contro una gamma variegata di target. Molti dei suoi bersagli sono ancora governi e istituzioni in Occidente, ma stiamo anche vedendo che viene usato contro obiettivi in Asia, dato interessante da osservare.”
CozyDuke e i suoi associati si ritiene provengano dalla Russia. Chi attacca stabilisce una testa di ponte in un’organizzazione: con un inganno i dipendenti vengono indotti a compiere un’azione, come aprire un allegato in un‘email che distrae gli utenti con un file esca (es. un PDF o un video), permettendo così a CozyDuke di infettare il sistema senza essere notato. Gli attaccanti possono poi compiere una serie di azioni usando differenti payload compatibili con CozyDuke, come raccogliere password e altri dati sensibili, eseguire comandi in remoto o intercettare informazioni confidenziali.
Sullivan riconosce che tuttavia non vi è sufficiente evidenza per concludere in via definitiva quali siano le identità e le motivazioni degli attaccanti, ma è abbastanza confidente che si tratti delle stesse persone responsabili degli attacchi attribuiti a OnionDuke e MiniDuke. “CozyDuke è in circolazione dal 2011, ma è un attacco che si è evoluto e che continua a cambiare. Questo ci dice che un gruppo o più gruppi hanno investito tempo e soldi per coltivare questi strumenti, quindi capire a che punto sono ora è ciò su cui dobbiamo davvero focalizzarci.”
Il white paper degli F-Secure Labs evidenzia anche che CozyDuke fa un check del software di sicurezza prima di ‘iniettare’ la sua infezione e certi tipi di software riescono a fare in modo che il tentativo d’attacco venga abbandonato.
Il white paper, scritto da Artturi Lehtiö, Threat Intelligence Analyst di F-Secure, è disponibile gratuitamente per il download sul sito di F-Secure.
