Aggiornato il 3 giugno 2015 alle 11:00
Recentemente una popolare applicazione per la privacy e lo sblocco nota come Hola ha attirato l 'attenzione della comunità della sicurezza per una serie di vulnerabilità e pratiche molto discutibili che consentono al servizio di comportarsi essenzialmente come una botnet a pagamento attraverso il suo servizio gemello chiamato Luminati. I ricercatori di Vectra hanno esaminato questa applicazione dopo averla osservata nelle reti dei clienti nelle ultime settimane e i risultati sono sia intriganti che preoccupanti. Oltre alle varie funzioni di attivazione di botnet che sono ormai di dominio pubblico, l'applicazione Hola contiene una serie di caratteristiche che la rendono una piattaforma ideale per l'esecuzione di attacchi informatici mirati.
Iniziamo dalle basi
Hola si propone di fornire una navigazione anonima e uno sbloccatore per accedere a qualsiasi contenuto da qualsiasi luogo. Lo "sblocco" si presenta in due forme. La prima è che un utente di Hola può fingere di trovarsi in qualsiasi Paese desideri, consentendo l'accesso a contenuti che sarebbero disponibili solo nel Paese di destinazione. Un esempio comune è quello di un cittadino canadese che accede alla versione statunitense di Netflix. In secondo luogo, un dipendente di un'azienda che blocca un certo traffico in uscita può utilizzare Hola per superare il blocco.
Il software è disponibile come estensione del browser o come applicazione autonoma, con versioni per tutti i principali sistemi operativi, e Hola vanta 46 milioni di utenti in tutto il mondo. I ricercatori di Vectra hanno analizzato la versione Windows 32-bit di Hola per Windows e le versioni Android ARM e Android x86 di Hola per dispositivi mobili disponibili prima del 27 maggio 2015.
Una volta installato, il servizio agisce come una gigantesca rete peer-to-peer nota internamente come "Zon", in cui il traffico Internet di un utente viene rimbalzato attraverso altri utenti di Hola. Nella rete Zon, ogni utente non pagato viene utilizzato come nodo di uscita, il che significa che se si installa l'applicazione, si trasporta il traffico di altri utenti anonimi. Peggio ancora, Hola memorizza nella cache i contenuti sui dispositivi degli utenti, il che significa che non solo si trasporta il traffico di qualcun altro a propria insaputa, ma si potrebbe anche essere utilizzati per memorizzare i loro contenuti. Queste sono tutte cose che Hola dichiara pubblicamente sul suo sito web e sul contratto di licenza. Gli utenti che se ne sono appena accorti hanno espresso sconcerto, ma la storia non finisce qui.
La nostra decisione di analizzare questo software è stata quella di attivare un tipo di rilevamento che chiamiamo "Accesso remoto esterno" in alcune reti dei nostri clienti. L'algoritmo alla base di questo rilevamento individua le connessioni stabilite dall'interno della rete di un cliente verso Internet e la successiva interazione è chiaramente guidata da un umano all'esterno della rete del cliente. Questo schema è coerente con il funzionamento di una rete anonima peer-to-peer. Il computer del dipendente con Hola installato deve utilizzare tecniche ben note per far sì che il firewall consenta il completamento della connessione del peer; tali tecniche fanno sì che la connessione appaia - al firewall e a Vectra - come avviata dal computer del dipendente al peer che desidera utilizzarla. Una volta che la connessione è attiva, l'uomo esterno che controlla il peer guida tutte le azioni.
Leggete un blog sui cyberattaccanti che utilizzano The Onion Router
Scavare in profondità
Le cose si fanno un po' più interessanti quando ci si rende conto che Hola (l'azienda) gestisce un secondo marchio chiamato Luminati che vende l'accesso alla rete Hola a terzi. Se questa vi sembra la ricetta per una botnet, non siete i soli. Infatti, i moderatori del controverso sito 8chan affermano di aver subito un DDoS proveniente dalla rete Hola/Zon.
Inoltre, ricercatori di terze parti hanno scoperto una serie di vulnerabilità nel software Hola che consentono non solo di tracciare gli utenti, ma anche di sfruttarle per eseguire codice arbitrario sul computer di un utente Hola. Va notato che le vulnerabilità in software perfettamente legittimi non sono insolite: la maggior parte degli editori di software viene giudicata in base alla competenza dei propri programmatori nel prevenire le vulnerabilità di sicurezza e alla velocità con cui reagiscono alle vulnerabilità segnalate. Le vulnerabilità sono state rese note il 29 maggio. Il 1° giugno, Hola ha dichiarato che le vulnerabilità erano state corrette, ma la dichiarazione è stata smentita dai ricercatori di terze parti in un aggiornamento del loro post originale.
Sembra inoltre che il DDoS di cui sopra non sia la prima volta che gli hacker tentano di utilizzare Hola per attività dannose. Analizzando il protocollo utilizzato da Hola, i ricercatori di Vectra hanno trovato su VirusTotal 5 diversi campioni malware che contengono il protocollo Hola. Gli hash SHA256 di questi campioni sono elencati di seguito:
- 83fd35d895c08b08d96666d2e40468f56317ff1d7460834eb7f96a9773fadd2d
- 2f54630804eeed4162618b1aff55a114714eeb9d3b83f2dd2082508948169401
- 65687dacabd916a9811eeb139d2c2dada1cefa8c446d92f9a11c866be672280b
- 43498f20431132cd28371b80aed58d357367f7fa836004266f30674802a0c59c
- 59a9fedeb29552c93bb78fff72b1de95a3c7d1c4fc5ad1e22a3bbb8c8ddbfaba
Non sorprende che questo significhi che i cattivi si siano resi conto del potenziale di Hola prima della recente raffica di segnalazioni pubbliche da parte dei buoni.
Abilitazione di un attaccante umano
Analizzando Hola, i ricercatori di Vectra Threat Labs hanno scoperto che, oltre alle segnalazioni di Hola come abilitatore di una botnet, contiene una serie di funzionalità che possono consentire un attacco informatico mirato e guidato dall'uomo sulla rete in cui risiede il computer di un utente Hola.
In primo luogo, il software Hola può scaricare e installare qualsiasi software aggiuntivo senza che l'utente ne sia a conoscenza. Questo perché, oltre a essere firmato con un certificato di firma del codice valido, una volta installato Hola, il software installa il proprio certificato di firma del codice sul sistema dell'utente. Nei sistemi Windows, il certificato viene aggiunto al Trusted Publishers Certificate Store. Questa modifica al sistema consente di installare ed eseguire qualsiasi codice aggiuntivo senza che l'utente venga avvisato dal sistema operativo o dal browser.
Inoltre, Hola contiene una console integrata che rimane attiva anche quando l'utente non sta navigando attraverso il servizio Hola: è inclusa nel processo che funge da forwarder per il traffico degli altri peer. La presenza di questa console, denominata "zconsole", è di per sé sorprendente, in quanto consente un'interazione umana diretta con un nodo Hola anche quando il servizio non è attivamente utilizzato dall'utente del sistema. Quindi, se un essere umano esterno al sistema riuscisse ad accedere a questa console, cosa potrebbe fare?
- Elencare e chiudere qualsiasi processo in esecuzione
- Scaricare qualsiasi file con l'opzione di bypassare il controllo antivirus (AV)
- Eseguire un file scaricato e:
- Eseguire il file con il token di un altro processo
- Eseguirlo come processo in background
- Aprire un socket verso qualsiasi indirizzo IP, dispositivo, guida, alias o nome di Windows.
- Lettura e scrittura di contenuti attraverso il socket alla console o a un file
Questo rappresenta solo un piccolo sottoinsieme delle funzionalità disponibili nella console. Gli sviluppatori della console sono stati così gentili da includere una pagina man per aiutare chi non ha familiarità con i comandi.
Queste capacità possono consentire a un aggressore competente di realizzare quasi tutto. Questo sposta la discussione da una rete anonima che permette di creare una botnet e ci costringe invece a riconoscere la possibilità che un aggressore possa usare Hola come piattaforma per lanciare un attacco mirato all'interno di qualsiasi rete che contenga il software Hola.
Di conseguenza, invitiamo le organizzazioni a determinare se Hola è attivo nella loro rete e a decidere se i rischi evidenziati in questo blog sono accettabili. Per aiutare in questo senso, abbiamo creato delle regole Yara per identificare se Hola è presente in un sistema. Per i clienti che dispongono di un sistema di prevenzione delle intrusioni (IPS), abbiamo anche creato delle firme Snort per aiutarli a identificare il traffico Hola nella loro rete.
Aggiunte e chiarimenti dalla prima pubblicazione
- Laddove si è parlato di botnet in relazione ad Hola, è stato chiarito che Hola è stato utilizzato per abilitare una botnet e non è di per sé una botnet.
- Nel terzo paragrafo sono state aggiunte informazioni sulle versioni specifiche di Hola per Windows e Hola per dispositivi mobili analizzate per questo blog. Queste informazioni erano già presenti nella sezione successiva intitolata Hashes SHA256 delle versioni Windows e Android del software Hola analizzate. Sono state aggiunte informazioni disponibili dopo la pubblicazione del nostro blog in merito alla patch del software Hola.
- Chiarito che i campioni presenti su VirusTotal indicano tentativi malevoli di utilizzare Hola; non sono disponibili prove del successo di questi attacchi.
- Aggiornata la nostra raccomandazione alle organizzazioni nel paragrafo finale
Firme Snort per rilevare il traffico Hola o Luminati (link al file)
alert tcp any any -> any any (msg: "VECTRA TROJAN Zon Network Encrypted"; content:"