Nell'ultimo decennio, le operazioni informatiche si sono intrecciate con i conflitti geopolitici. Nelle recenti campagne asimmetriche, gruppi di minaccia sponsorizzati dallo Stato hanno mappato infrastrutture critiche, interrotto sistemi, tenuto in ostaggio informazioni e rubato segreti di Stato come forma di guerra.
Di recente, l'escalation delle tensioni tra la Repubblica Islamica dell'Iran e gli Stati Uniti d'America ha aumentato il potenziale di un cyberattacco di ritorsione. I TTP dei gruppi di minaccia iraniani si sono evoluti fino a incorporare la distruzione come tattica di rappresaglia, concentrandosi sui settori delle infrastrutture critiche, tra cui la rete elettrica, il petrolio e il gas e le reti di comunicazione.
Ciò ha recentemente portato a un avviso dell'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (Cybersecurity and Infrastructure Security Agency, CISA). L'avviso sollecita una maggiore prontezza, avvertendo che:
In particolare, i gruppi di minaccia iraniani hanno sviluppato malware Wiper avanzati, una classe dimalware che cancella il disco rigido del computer che infetta, e hanno dimostrato la volontà di impiegarli contro gli avversari regionali del settore energetico negli ultimi dieci anni. Il risultato è stato la distruzione su larga scala di sistemi informatici, tra cui oltre 30.000 nell'attacco malware Shamoon del 2012.
Finora, gli attacchi iraniani si sono concentrati su obiettivi energetici e governativi situati fisicamente in Arabia Saudita. Tuttavia, ciò è dovuto alla portata della missione e non alla capacità tecnica. Se queste capacità dovessero essere impiegate con successo contro un insieme più ampio di entità nell'ambito di una campagna informatica, l'impatto potrebbe essere elevato.
Il malware Wiper di più recente attribuzione iraniana è ZeroCleare, identificato e ricercato da IBM nel dicembre 2019. La fase attiva di un attacco ZeroCleare propaga il malware Wiper dai controller di dominio a tutti i sistemi del dominio utilizzando Powershell / WMI con credenziali di amministratore di dominio. Il malware utilizza quindi il toolkit EldoS Rawdisk per sovrascrivere il Master Boot Record (MBR) e le partizioni del disco sui computer basati su Windows.
La propagazione del malware è rapida e completa perché la compromissione del controller di dominio e delle credenziali di amministrazione del dominio consente l'accesso a tutte le entità dell'infrastruttura. Il risultato è un impatto pronunciato e prolungato, poiché non è possibile recuperare il sistema una volta distrutto l'MBR. Inoltre, poiché non esiste un exploit che possa essere patchato, la progressione non può essere rallentata.
La velocità è fondamentale per i team di sicurezza che devono affrontare questi TTP. È fondamentale che l'attacco venga individuato ed eliminato prima che venga raggiunto il dominio Admin sul controller di dominio.
La buona notizia è che Vectra Cognito fornisce una copertura per le fasi iniziali dell'attacco, poiché questo attacco si comporta in modo simile ad altri attacchi basati su credenziali che cercano di ottenere un livello di accesso privilegiato. Un riepilogo della visibilità di questi comportamenti è riportato nella Tabella 1.
Nota: prestate particolare attenzione ai rilevamenti di anomalie dei privilegi o di esecuzioni remote sospette che hanno come obiettivo un controller di dominio o, peggio ancora, tra controller di dominio, in quanto si tratta di elementi attesi nelle fasi successive della progressione dell'attacco (pre-wipe).
Insieme alle raccomandazioni contenute nell'advisory, raccomandiamo ai vostri team di sicurezza di prestare particolare attenzione a questi comportamenti di attacco nella vostra implementazione di Cognito.
Continueremo ad aggiornare questo post non appena scopriremo ulteriori informazioni.