Il gruppo di hacker di stato iraniano – meglio conosciuto come Chafer – ha condotto nello scorso autunno una serie di attacchi informatici, attraverso un malware realizzato in proprio sulla base di un vecchio codice noto come Remexi, verso bersagli diplomatici stranieri
Dimentichiamoci le seducenti e affascinanti spie protagoniste dei film di spionaggio: lo spionaggio attuale utilizza sistemi sofisticati e subdoli, ma alla portata di tutti e in grado di attaccare i computer personali trafugando informazioni in modo sicuro e silenzioso.
L’ultimo attacco di cyber-spionaggio si è consumato lo scorso autunno in Iran ed è venuto alla luce grazie a evidenze sospette riscontrate grazie al Kaspersky Attribution Engine; gli esperti informatici della società hanno infatti rilevato tracce di attività fraudolente che possono essere ricondotte a un gruppo conosciuto come Chafer. Questo gruppo di cyber-spie iraniane, riconducibili agli apparati statali e il cui nome significa “coleottero”, era già stato protagonista nel 2017 di diversi attacchi in Medio Oriente, soprattutto verso obiettivi commerciali e strategici di Israele, Giordania, Arabia Saudita, Turchia ed Emirati Arabi Uniti.
In questa nuova ondata di spionaggio, invece, i bersagli sono diventati esponenti diplomatici stranieri con sede in Iran; la notizia più interessante negli attacchi del 2018 però risiede nella metodologia utilizzata per carpire informazioni sensibili. Chafer infatti si è appoggiata a una versione di malware autoprodotta, basata sul codice del malware Remexi ma opportunamente modificata. Attraverso questo sistema, non particolarmente sofisticato, sono stati infettati diversi computer senza mobilitare ingenti risorse tecnologiche né particolari conoscenze informatiche. Questo non significa – racconta Denis Legezo, senior security researcher del Kaspersky Lab Global Research and Analysis Team, che il gruppo non sia in grado di portare attacchi più sofisticati.
Il malware può essere facilmente compilato attraverso vari sistemi, anche pubblici, ed è stato indirizzato verso figure che non necessariamente hanno competenze informatiche avanzate – come i diplomatici. Da un punto di vista prettamente tecnico, i cyber-terroristi hanno usato il linguaggio C e un compilatore GCC in ambiente MinGW. Molto probabilmente hanno usato l’IDE di Qt Creator in ambiente Windows.
La crittografia XOR e RC4 viene utilizzata con chiavi univoche piuttosto lunghe; tra tutte queste chiavi casuali è stata usata anche la parola “salamati”, che significa “salute” in farsi.
Gli hacker hanno utilizzato tecnologie Microsoft sia lato client sia server: il Trojan, infatti, ha sfruttato programmi standard – come Bitadmin.exe di Microsoft Background Intelligent Transfer Service (BITS) – per ricevere e inviare comandi e dati. Il suo C2 – command & control- è basato sul modulo IIS che usa la collaudata tecnologia Asp per gestire e controllare le richieste HTTP delle vittime.
Il malware può estrapolare sequenze di tasti, schermate, dati raccolti attraverso il browser, come cookie, password, informazioni inserite nei moduli online e cronologia delle ricerche; tra i dati catturati ci sono tasti premuti, screenshot dei siti visitati, cookie e dati di login raccolti dal browser attraverso Microsoft Background Intelligent Transfer Service (BITS).
Il software è inoltre capace di criptare e di aggiungere file alla directory di upload, di eseguire in modo nascosto comandi di sistema, di aggiungere dati raccolti attraverso il browser alla directory di upload, di rimuovere file e task BITS dal computer infetto e di ricevere nuovi dati di configurazione.
Il nuovo codice basato su Remexi è intelligente al punto da fermare il download dei dati rubati se lo spazio su disco nel computer infetto diventa troppo rilevante rispetto allo spazio totale disponibile. Gli esperti di Kaspersky suggeriscono per proteggersi di preparare per tempo un piano di protezione e di backup dei propri dati importanti.
