StormBamboo: attenzione agli hacker che diffondono malware sfruttando aggiornamenti software automatici

I ricercatori di sicurezza di Volexity hanno individuato un sofisticato attacco informatico che ha colpito di recente utenti Windows e Mac, tramite lo sfruttamento di vulnerabilità nei meccanismi di aggiornamento software di diverse applicazioni popolari.

I ricercatori hanno scoperto una tattica particolarmente ingegnosa: gli aggressori hanno compromesso l'infrastruttura di un provider di servizi Internet (ISP) per manipolare il traffico di rete e distribuire malware attraverso aggiornamenti software apparentemente legittimi.

StormBamboo, questo il gruppo hacker che ha coordinato l'attacco, ha compromesso specifici apparati di rete all'interno dell'infrastruttura dell'ISP, riuscendo ad alterare le risposte del DNS per quegli host legittimi che forniscono gli aggiornamenti software. Le applicazioni colpite includono nomi noti come 5KPlayer, Quick Heal, Rainmeter, Partition Wizard, oltre a software di Corel e Sogou, sia per sistemi Windows che macOS.

Gli aggressori sono riusciti nella loro impresa perché i meccanismi di aggiornamento di queste applicazioni sono privi di adeguate misure di sicurezza. In particolare i ricercatori hanno rilevato l'assenza di connessioni TLS o di firme crittografiche per autenticare gli aggiornamenti, lasciando aperta la possibilità di attacchi Man-in-the-Middle. Che è proprio quello che hanno fatto gli aggressori, reindirizzando le richieste di aggiornamento verso server sotto il loro controllo, aggirando quindi i server legittimi dei produttori dei software presi di mira.

I ricercatori di Volexity spiegano che questo attacco è strutturato in maniera tale da eludere anche l'uso di servizi DNS come 8.8.8.8 di Google o 1.1.1.1 di Cloudflare. L'attacco infatti non coinvolge direttamente i server DNS degli ISP, ma intercetta e modifica le risposte DNS a livello di infrastruttura di rete. In altri termini: le query DNS venivano alterate dopo aver lasciato i server DNS legittimi e solamente quando avevano raggiunto l'infrastruttura dell'ISP compromesso.

I ricercatori hanno illustrato cos'è accaduto nel caso dell'applicazione 5KPlayer. Si tratta di un'app che fa uso di una connessione HTTP non sicura per verificare e scaricare gli aggiornamenti, incluso un file di configurazione chiamato Youtube.config. StormBamboo ha sfruttato il DNS poisoning per consegnare una versione dannosa di questo file, che scaricava un payload mascherato da immagine PNG. In realtà questo PNG era un eseguibile per l'installazione di un malware noto come MACMA per dispositivi macOS o POCOSTICK per dispositivi Windows.

MACMA è una backdoor per sistemi macOS e iOS, già identificata nel 2021 dal Threat Analysis Group di Google. Si tratta di uno strumento che mette a disposizione varie funzionalità dannose, come il fingerprinting del dispositivo, l'esecuzione di screenshot dello schermo, la manipolazione di file, l'esecuzione di comandi da terminale, la registrazione audio e il keylogging.

POCOSTICK è invece un malware in circolazione almeno dal 2014, che la società di sicurezza ESET ha collegato a un gruppo di minacce di lingua cinese noto come Evasive Panda. Le scoperte di Volexity hanno finalmente chiarito le modalità di distribuzione di questo malware, confermando l'ipotesi di un attacco MitM piuttosto che un attacco diretto alla catena di fornitura del software.

Volexity non ha rivelato l'identità dell'ISP, a cui ha notificato tempestivamente quanto individuato e con cui ha collaborato per risolvere il problema. La società di sicurezza ha comunque sottolineato come i principi alla base di questo attacco potrebbero essere sfruttati anche a livello di reti locali e firewall aziendali, osservando inoltre che altri attacchi di questo tipo potrebbero già essere in corso su altri ISP.

Al di là di quelle che sono le misure in capo ai fornitori di servizi di connettività e a chi distribuisce gli aggiornamenti dei propri software, l'utente finale può fare poco per proteggersi da questa minaccia: la strada più drastica è quella di non usare software che si aggiorna in modo non sicuro (ma non è scontato che l'utente sappia o possa sapere come conoscere questi dettagli). Come alternativa è invece possibile usare protocolli di comunicazione DNS over TLS o DNS over HTTPS per evitare proprio la manipolazione di informazioni e il dirottamento delle richieste.