Le agenzie di sicurezza di cinque paesi hanno pubblicato un avviso congiunto che rivela i dettagli tecnici di un sofisticato strumento di spionaggio utilizzato dagli attori informatici russi contro i loro obiettivi. Secondo l’avviso di sicurezza, il malware Snake e le sue varianti sono state una componente fondamentale delle operazioni di spionaggio russo condotte dal Center 16 del Servizio di Sicurezza Federale russo (FSB) per quasi due decenni.

Identificati nelle infrastrutture di oltre 50 paesi in Nord America, Sud America, Europa, Africa, Asia e Australia, i protocolli di comunicazione personalizzati di Snake utilizzano la crittografia e la frammentazione per garantire la riservatezza e sono progettati per ostacolare gli sforzi di rilevamento. A livello globale, l’FSB ha utilizzato Snake per raccogliere informazioni sensibili da obiettivi ad alta priorità come reti governative, strutture di ricerca e giornalisti.

L’avviso è stato pubblicato dal Federal Bureau of Investigation (FBI) degli Stati Uniti, dalla National Security Agency (NSA) degli Stati Uniti, dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, dalla Cyber National Mission Force (CNMF) degli Stati Uniti, dal National Cyber Security Center (NCSC) del Regno Unito, dal Canadian Centre for Cyber Security (CCCS), dal Communications Security Establishment (CSE) del Canada, dall’Australian Cyber Security Centre (ACSC) e dal New Zealand NCSC. Il documento è stato concepito per aiutare le organizzazioni a comprendere il funzionamento di Snake e fornisce le mitigazioni suggerite per difendersi dalla minaccia.

L’avviso di sicurezza arriva sulla scia di un avviso separato dell’NCSC del Regno Unito che descrive una nuova classe di cyber-avversari russi che minacciano infrastrutture critiche.

L’operazione MEDUSA contro Snake

Lo stesso giorno in cui è stato pubblicato l’avviso, il Dipartimento di Giustizia degli Stati Uniti ha annunciato il completamento di un’operazione con nome in codice MEDUSA per neutralizzare una rete globale peer-to-peer di computer compromessi dal malware Snake. L’operazione MEDUSA ha disattivato il malware Snake sui computer compromessi grazie a uno strumento creato dall’FBI chiamato PERSEUS, in grado di indurre il malware Snake a sovrascrivere i propri componenti vitali.

“L’annuncio di oggi dimostra la volontà e la capacità dell’FBI di unire le nostre autorità e le nostre capacità tecniche a quelle dei nostri partner globali per neutralizzare i criminali informatici”, ha dichiarato l’assistente direttore Bryan Vorndran della Cyber Division dell’FBI. “Quando si tratta di combattere i tentativi della Russia di colpire gli Stati Uniti e i nostri alleati utilizzando strumenti informatici complessi, non vacilleremo”.

La sofisticazione di Snake

Snake è considerato lo strumento di spionaggio informatico più sofisticato nell’arsenale dell’FSB. “In primo luogo, Snake impiega mezzi per raggiungere un raro livello di furtività nei suoi componenti host e nelle comunicazioni di rete. In secondo luogo, l’architettura tecnica interna di Snake consente di incorporare facilmente componenti nuovi o sostitutivi. Infine, Snake dimostra un’attenta progettazione e implementazione del software, con l’impianto che contiene sorprendentemente pochi bug data la sua complessità”.

L’FSB ha anche implementato nuove tecniche per aiutare Snake a eludere il rilevamento. L’efficacia dell’impianto di cyberspionaggio dipende dalla sua invisibilità a lungo termine per fornire un accesso costante a importanti informazioni. “Gli aspetti più sofisticati di Snake rappresentano uno sforzo significativo da parte dell’FSB nel corso di molti anni per consentire questo tipo di accesso segreto”.

Snake viene spesso distribuito su nodi di infrastrutture rivolte verso l’esterno

Snake viene tipicamente distribuito ai nodi infrastrutturali di una rete rivolti verso l’esterno e da lì utilizza altri strumenti e tattiche, tecniche e procedure (TTP) sulla rete interna per condurre ulteriori operazioni di sfruttamento. “Dopo aver ottenuto e consolidato l’ingresso in una rete bersaglio, l’FSB in genere enumera la rete e lavora per ottenere le credenziali di amministratore e accedere ai controller di dominio. È stata impiegata un’ampia gamma di meccanismi per raccogliere le credenziali degli utenti e degli amministratori al fine di espandersi lateralmente attraverso la rete, tra cui keylogger, sniffer di rete e strumenti open-source”.

alchimist

Una volta che gli attaccanti mappano una rete e ottengono le credenziali di amministratore per i vari domini, iniziano le regolari operazioni di raccolta. Nella maggior parte dei casi con Snake, ci si affida alle credenziali e a strumenti leggeri di accesso remoto all’interno della rete. “Gli operatori dell’FSB a volte implementano una piccola reverse shell remota insieme a Snake per consentire operazioni interattive”. Questa reverse shell attivabile, che l’FSB utilizza da circa 20 anni, può essere usata come vettore di accesso di riserva o per mantenere una presenza minima in una rete ed evitare di essere scoperti mentre ci si sposta lateralmente.

Snake utilizza due metodi principali per la comunicazione e l’esecuzione dei comandi: passivo e attivo. Gli operatori di Snake utilizzano generalmente operazioni attive per comunicare con i punti di accesso all’interno dell’infrastruttura di Snake, mentre gli endpoint di Snake tendono a operare esclusivamente con il metodo passivo.

Metodi di rilevamento di Snake

L’avviso ha anche delineato diverse metodologie di rilevamento disponibili per Snake, illustrandone i vantaggi e gli svantaggi.

  • Rilevamento basato sulla rete: I sistemi di rilevamento delle intrusioni di rete (NIDS) possono identificare alcune delle varianti più recenti di Snake e i suoi protocolli di rete personalizzati. I vantaggi includono il rilevamento ad alta sicurezza e su larga scala (a livello di rete) dei protocolli di comunicazione personalizzati di Snake. Gli svantaggi includono la scarsa visibilità delle operazioni di impianto di Snake e dei dati crittografati in transito. Esiste un certo potenziale di falsi positivi nelle firme HTTP, HTTP2 e TCP di Snake. Gli operatori di Snake possono facilmente modificare le firme basate sulla rete.
  • Rilevamento basato sull’host: I vantaggi includono un’elevata fiducia basata sulla totalità dei risultati positivi per gli artefatti basati sull’host. Gli svantaggi includono il fatto che molti degli artefatti sull’host possono essere facilmente spostati per esistere in una posizione diversa o con un nome diverso. Poiché i file sono completamente crittografati, è difficile identificarli con precisione.
  • Analisi della memoria: I vantaggi includono un’elevata sicurezza in quanto la memoria fornisce il massimo livello di visibilità sui comportamenti e gli artefatti di Snake. Gli svantaggi includono il potenziale impatto sulla stabilità del sistema e la difficile scalabilità.

Prevenire le tecniche di persistenza e di occultamento di Snake

L’avviso descrive infine anche le strategie per prevenire le tecniche di persistenza e di occultamento di Snake. La prima è che i proprietari dei sistemi che si ritiene siano stati compromessi da Snake cambino immediatamente le loro credenziali e non utilizzino alcun tipo di password simile a quelle usate in precedenza. “Snake utilizza una funzionalità di keylogger che restituisce regolarmente i log agli operatori dell’FSB. Si raccomanda di cambiare le password e i nomi utente con valori che non possano essere forzati o indovinati sulla base delle vecchie password”.

Si consiglia inoltre ai proprietari dei sistemi di applicare gli aggiornamenti ai loro sistemi operativi, poiché le versioni moderne di Windows, Linux e MacOS rendono molto più difficile per gli avversari operare nello spazio del kernel. “Questo renderà molto più difficile per gli attori di FSB caricare il driver del kernel di Snake sul sistema bersaglio”.

Se i proprietari dei sistemi ricevono le firme di rilevamento dell’attività di impianto di Snake o hanno altri indicatori di compromissione che sono associati agli attori dell’FSB che utilizzano Snake, l’organizzazione interessata deve avviare immediatamente il proprio piano di risposta agli incidenti. Questo dovrebbe includere:

  • La separazione degli account utente e di quelli privilegiati per rendere più difficile agli attori dell’FSB l’accesso alle credenziali di amministratore
  • L’impiego della segmentazione di rete per negare tutte le connessioni per impostazione predefinita, a meno che non siano esplicitamente richieste per specifiche funzionalità del sistema
  • L’implementazione dell’autenticazione multifattoriale (MFA) resistente al phishing per aggiungere un ulteriore livello di sicurezza anche quando le credenziali dell’account sono compromesse