skip to Main Content

Cyber Espionage: chi è CostaRicto, APT del cybercrime su commissione

Di Pierguido Iezzi

CostaRicto è una nuova APT, che si sta facendo notare per le sue “imprese” ai danni di target insolitamente variegati

Un malware personalizzato, una complessa rete di proxy, VPN e tunnel SSH per nascondere la propria attività: sono questi gli strumenti del mestiere di CostaRicto, un nuovo gruppo APT che si sta facendo notare per le sue “imprese” ai danni di target insolitamente variegati. Tracciati per la prima volta dai ricercatori di BlackBerry Research, questi Criminal Hacker, sono stati identificati come un gruppo di Mercenari del cybercrime, un trend sempre più popolare nel mondo delle Advanced Persistent Threats. Le loro tattiche, tecniche e procedure (TTP), infatti, spesso assomigliano a quelle impiegate nelle classiche campagne altamente sofisticate messe in piedi dai gruppi affiliati a particolari Stati, ma i profili e la geografia delle loro vittime sono troppo diversi per essere allineati con gli interessi di un singolo committente.

Il gruppo del cybercrime è operativo almeno dal 2018

CostaRicto è operativo almeno dall’ottobre 2019, ma potenzialmente già dal 2017, sulla base di timestamp trovati nei campioni del suo programma backdoor, unico nel suo genere.  Le vittime dell’AT operano in molti settori, ma molte di esse sono istituzioni finanziarie. In termini geografici, i target hanno sede in tutto il mondo, ma si è osservata una concentrazione nell’Asia meridionale (ma anche in Europa), il che suggerisce che il gruppo potrebbe avere sede e lavorare per entità in quella regione.  L’elenco degli altri Paesi in cui sono state osservate le vittime comprende la Cina, gli Stati Uniti, le Bahamas, l’Australia, il Mozambico, la Francia, i Paesi Bassi, l’Austria, il Portogallo e la Repubblica Ceca.

APT For hire, il fenomeno

I gruppi di hacker del cybercrime “a noleggio” nascono dall’incontro di due tendenze emergenti negli ultimi anni: l’adozione delle tecniche APT da parte di attori non “statali” (ovvero con alle spalle un Paese come committente), comprese quelle tradizionalmente associate al Criminal Hacking, e la mercificazione del cybers pionaggio attraverso un nuovo modello di APT-as-a-service. Questi cambiamenti nel panorama delle minacce mettono in discussione i modelli tradizionali e lasciano molte organizzazioni esposte perché per lungo tempo gli APT erano degli “outlier” nel calderone delle minacce; spesso visti come un pericolo solo per le grandissime organizzazioni e in particolare per gli Stati. Ma da quest’anno c’è stata una vera e propria esplosione di attacchi APT contro studi legali, società di consulenza finanziaria, etc… il che suggerisce che nessuna organizzazione, indipendentemente dal settore, può più permettersi di ignorarle. Una naturale evoluzione, partita da fenomeni come il ransomware-as-a-service (RaaS). Non dovremmo sorprenderci che il mercato dei Criminal Hacker abbia ampliato il suo portafoglio per aggiungere le campagne di spearphishing e di spionaggio dedicate all’elenco dei servizi offerti.

Gli strumenti di CostaRicto

I ricercatori del BlackBerry non sanno con certezza come CostaRicto ottenga l’accesso iniziale nell’ambiente di una vittima, ma ritengono che potrebbe trattarsi di credenziali rubate che sono state acquisite attraverso il phishing o da altri Database. Una volta che gli aggressori si trovano all’interno della rete della vittima, impostano tunnel SSH e consegnano un payload dropper via HTTP o reverse-DNS per poi eseguirlo. Questo dropper carica una backdoor personalizzata o un RAT che gli aggressori chiamano Sombra. La backdoor è scritta in C+++ con un’architettura a plugin. Lo strumento supporta circa 50 comandi diversi, ma viene utilizzato principalmente per eseguire ulteriori payload indipendenti o i propri plugin, chiudere processi, raccogliere informazioni di sistema, caricare file sul server di comando e controllo (C2) e altre semplici azioni.

La comunicazione con l’infrastruttura C2 dell’APT

La comunicazione con l’infrastruttura C2 di CostaRocto è criptata con RSA-2048 e avviene tramite tunneling DNS con sottodomini generati al volo utilizzando un algoritmo personalizzato. Gli aggressori utilizzano nomi di dominio che assomigliano molto a quelli legittimi, ad esempio un typosquatting di un dominio di proprietà della State Bank of India. Uno degli indirizzi IP utilizzati dall’infrastruttura C2 del gruppo del cybercrime è stato utilizzato in passato in una campagna di phishing associata al gruppo russo APT-28, noto anche come Fancy Bear, ma i ricercatori del BlackBerry ritengono che non vi sia alcuna connessione tra i due gruppi. I server C2 sono gestiti dal gruppo attraverso Tor e uno strato di proxy web, il che indica una sicurezza operativa superiore alla media.

Back To Top