Il team di Yarix ha analizzato una backdoor molto insidiosa impiantata in un web server Apache che consente di sniffare il traffico HTTPS quando viene decifrato dal web-server. Questo componente rivela molte delle caratteristiche della backdoor Linux/Cdorked.A, ma la sua peculiarità è che sia riconosciuto come 100% clean su Virus Total: un complesso artefatto progettato esclusivamente per l’ambiente del Cliente che, grazie a un utilizzo estensivo della cifratura, non è rilevato da alcuna piattaforma anti-malware.
È un testa a testa senza esclusione di colpi, quello tra hacker ed esperti di cyber security: ad ogni passo avanti nello sviluppo dei sistemi di protezione si contrappone una minaccia nuova. In questa logica si inserisce l’individuazione di un APT mai rilevato in precedenza a livello internazionale. Averne identificato la comparsa ci dice molto sulla capacità offensiva ed organizzativa del cyber crime, ma al tempo stesso ci conforta rispetto alla possibilità di aver spuntato alcune delle armi degli hacker, per quanto riguarda questo inedito e pericoloso strumento di attacco”. Parla così Mirko Gatto, CEO di Yarix, Divisione Digital Security di Var Group,
Il framework fornito da Apache mette a disposizione dello sviluppatore una serie di hook che consentono di eseguire ulteriore codice durante i differenti stati di esecuzione del processo. Gli hook sfruttati da questo modulo sono offerti nativamente dal modulo Apache.
La scoperta è stata possibile grazie alle attività di incident response, assessment e digital forensics condotte da Yarix. Il Team ha incontrato in particolare una stringa ribattezzata p0sT5n1F3r= che consente di rubare tutti i dati inseriti dai visitatori senza lasciare alcuna traccia.
Secondo i ricercatori, p0sT5n1F3r= è inserito in un modulo per Apache e agisce a livello server per sniffare le informazioni una volta che queste sono state decodificate dal Web Server. Le informazioni vengono memorizzate e poi trasmesse in modo da non destare sospetti negli amministratori. La trasmissione non avviene infatti autonomamente ma fa seguito a un collegamento avviato dall’esterno dagli hacker che risulta a qualsiasi strumento di controllo totalmente legittimo e, allo stesso modo, anche l’attività di sniffing non lascia alcuna traccia nei log di sistema e lo stesso codice del malware, sottoposto dai ricercatori a scansione su VirusTotal, sfugge a qualsiasi motore antivirus. p0sT5n1F3r= è in pratica uno sniffer quasi invisibile.
Nel caso specifico, il malware è stato utilizzato per rubare informazioni sulle credenziali di pagamento inserite dai visitatori, ma potrebbe essere utilizzato per intercettare anche altri tipi di informazioni.
Fonte:
https://www.yarix.com/it/scoperto-un-apt-mai-rilevato-in-precedenza-a-livello-globale-002-001-001.php
Il report della Ricerca: Report