Il software CobaltStrike Beacon adesso attacca anche Linux

1

La sicurezza sta diventando con gli anni sempre più importante e sempre più una parte fondamentale nelle aziende. Con questo concetto però non ci si limita a definire solo l’assicurarsi di avere sempre le ultime patch installate ed i vari software e sistemi operativi aggiornati, ma anche a scoprire quanto l’organizzazione della nostra infrastruttura sia vulnerabile.

Per fare questo si ricorre maggiormente a due tecniche: il penetration testing è sicuramente tra le più comuni, soluzione in cui si utilizzano vari tool che analizzano lo stato dei sistemi (a seconda di quanto espongono) e cercano vulnerabilità non patchate e configurazioni errate per valutare quanto un sistema sia esposto. L’altra tecnica è definita adversary simulations, e si occupa di replicare le tecniche utilizzate da possibili avversari che decidono di bersagliare l’infrastruttura, e che quindi -in quanto generalmente più avanzate- mettono alla prova anche la capacità di risposta dell’azienda ad attacchi informatici.

Per fare questo, oltre ad un team di persone che sia specializzato, di solito ci si appoggia anche a software specifici. Uno di questi è proprio Beacon di Cobalt Strike, un software proprietario specificatamente pensato per bersagliare sistemi Windows con keyloggers e furto di file.

Nonostante il software non sia proprio economico (stiamo parlando di una licenza di $3500/anno per utente), pare che questo prodotto sia efficace nel compromettere host in maniera automatica al punto che non solo viene utilizzato da questi team di analisi, ma anche dagli stessi cyber-criminali che cercano di entrare nelle reti.

Fin qui nulla di strano, non è la prima volta che tool pensati per garantirci sicurezza vengano usati anche per togliercela, ma di fatto noi utenti del pinguino abbiamo -almeno in questo ambito specifico- dormito sonni tranquilli, non essendo tra i sistemi attaccabili da Beacon. Ma le cose stanno per cambiare.

Come è saltato fuori da un’analisi di Intezer, Cobal Strike -e più nello specifico Beacon– è stato preso da alcuni malintenzionati, ne è stato fatto il reverse-engineering e, nientemeno, ne è stato fatto un porting per poter funzionare anche contro Linux!

Based on telemetry with collaboration from our partners at McAfee Enterprise ATR, this Linux threat has been active in the wild since August targeting telecom companies, government agencies, IT companies, financial institutions and advisory companies around the world […] Targeting has been limited in scope, suggesting that this malware is used in specific attacks rather than mass spreading.

Basandoci sulle telemetrie in collaborazione con i nostri partner di McAfee Enterprise ATR, questa minaccia su Linux è attiva sulla rete da Agosto, bersagliando aziende di telecomunicazioni, agenzie governative, aziende IT, istituzioni finanziarie e compagnie pubblicitarie di tutto il mondo […] I bersagli sono stati limitati, suggerendo che il malware venga utilizzato in attacchi specifici piuttosto che ad ampio raggio.

Questo quanto affermato da Avigayil Mechtinger, Ryan Robinson e Joakim Kennedy, del team di ricerca di Intezer stessa. Questo nuovo malware è stato ribattezzato Vermillion Strike.

Il problema più grosso è dato anche dal fatto che questo specifico tool è estremamente difficile da identificare con i consueti tool di analisi di compromissione, cosa che al momento lo rende una delle minacce più critiche per i nostri sistemi, considerando che con esso è possibile fare upload di file, eseguire comandi di shell e scrivere sui file, di fatto può compromettere facilmente un intero sistema.

Insomma, non si può davvero dormire sonni tranquilli, la speranza è quella di riuscire ad essere più furbi o, per lo meno, cercare non solo di avere sempre tutto aggiornato e ben configurato, ma anche di strutturare la propria rete in modo che sia il meno esposta possibile a questo genere di tool.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.