Afghanistan, Talebani e cybersecurity: il caso di ReverseRat

Come un virus biologico reale, il malware originario del Pakistan che in precedenza aveva preso di mira il settore energetico e le organizzazioni governative in India e Afghanistan, ora è mutato per adottare nuove capacità di attacco informatico.

Mentre la minaccia estremista dei talebani contro il governo afghano cresce, le sue istituzioni continuano ad affrontare crescenti attacchi informatici provenienti dal Pakistan. In questo articolo ci concentriamo sugli impatti che questa situazione crea nel cyber-terrorismo, non c’è però da dimenticare che in questo momento, dopo la sommossa dei Talebani nelle maggiori città in Afghanistan (ora anche Kabul e tutti i luoghi del potere), la sicurezza informatica vive anche di un pericolo più concreto: la sicurezza fisica. Tutti i luoghi del potere, dell’informazione e dell’elaborazione dei dati in questo momento sono fuori controllo in Afghanistan, e senza controllo non c’è sicurezza. “Negli ultimi sei mesi, 39 tralicci dell’elettricità che portano energia importata in Afghanistan sono stati danneggiati”, ha detto ad Al Jazeera Sangar Niazi, portavoce di Da Afghanistan Breshna Sherkat (DABS), il fornitore nazionale di energia del paese.

Mentre l’Afghanistan è rimasto l’obiettivo principale di questa campagna, la nuova ricerca condivisa da Black Lotus Labs, il braccio di intelligence sulle minacce della società di telecomunicazioni con sede negli Stati Uniti Lumen Technologies, suggerisce che anche India, Iran e Giordania sono stati presi di mira di recente.

Le prove mostrano che gli aggressori hanno utilizzato una piattaforma contraffatta per la riunione delle Nazioni Unite per attirare gli obiettivi del governo. Prende il nome dalla sua precedente versione nota, i ricercatori chiamano questo nuovo programma “ReverseRat 2.0“.

Nuova minaccia, nuove capacità

Una delle funzionalità che ha attirato l’attenzione degli esperti è la capacità del nuovo Remote Access Trojan (RAT) di controllare la webcam del dispositivo compromesso.

“Alcune delle modifiche più importanti hanno consentito l’aggiunta di funzionalità come scattare foto remote tramite webcam e recuperare file su dispositivi USB inseriti nelle macchine compromesse”, afferma il rapporto di Back Lotus Labs.

Gli esperti hanno anche scoperto una versione aggiornata di un file componente che consente al malware di evitare il rilevamento da parte di alcune delle popolari soluzioni antivirus disponibili in India. 

“Abbiamo anche scoperto una versione aggiornata del file di caricamento preBotHta, che includeva nuove tecniche di evasione per contrastare i prodotti antivirus (AV) Kaspersky o Quick Heal, se entrambi fossero stati rilevati sul computer host”, ha aggiunto. 

I ricercatori ritengono che l’autore della minaccia possa aver eseguito test con queste soluzioni antivirus e si sia reso conto che l’antivirus ha identificato e bloccato alcuni aspetti della loro catena di infezione ed è per questo che hanno aggiunto diversi percorsi logici per evitare il rilevamento dell’antivirus e per garantire la capacità di infettare il bersaglio macchine.

La comunicazione delle Nazioni Unite

E’ stata inviata una comunicazione esca che imita l’Ufficio delle Nazioni Unite contro la droga e il crimine (UNODC) di Vienna, direttamente alle vittime governative.

I ricercatori notano che il link di invito virtuale nel documento era valido, ma il documento stesso “sembrava fabbricato” poiché la rivista ufficiale delle Nazioni Unite non menzionava alcun evento del genere.

Il pacchetto sospetto intitolato “Agenda” era il probabile trampolino del malware. L’uso di una comunicazione delle Nazioni Unite inventata suggerisce che la campagna fosse mirata e di natura specifica. Mentre i precedenti attacchi utilizzavano Allakore, un RAT open source, negli attacchi attuali è stato utilizzato un nuovo agente chiamato NightFury.

“I metadati della campagna indicano che è iniziata il 28 giugno 2021. Abbiamo osservato la telemetria di rete di almeno un ente governativo oltre ad altre organizzazioni mirate situate in Afghanistan e, in misura minore, Giordania, India e Iran”, hanno aggiunto i ricercatori.

I ricercatori hanno adottato misure contro l’infrastruttura utilizzata dagli attori della campagna attraverso la rete IP globale di Lumen e hanno anche informato le organizzazioni interessate. Hanno chiesto ad altre organizzazioni di avvisare nel caso in cui una campagna simile venga rilevata nei loro ambienti.

“Data la natura dei settori critici a cui si rivolge l’attore, Black Lotus Labs consiglia ai professionisti della sicurezza di apprendere le attuali tattiche, strumenti e procedure (TTP) dell’attore per difendere meglio le proprie organizzazioni da potenziali attacchi”, dicono i ricercatori di sicurezza informatica di Black Lotus Labs, nel rapporto.