{"id":4340,"date":"2022-02-25T14:05:27","date_gmt":"2022-02-25T14:05:27","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=4340"},"modified":"2023-09-16T10:59:21","modified_gmt":"2023-09-16T10:59:21","slug":"russia-ucraina-attacchi-informatici","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/russia-ucraina-attacchi-informatici\/","title":{"rendered":"Russia | Ucraina: attacchi informatici"},"content":{"rendered":"\n<p>Quanto sta accadendo fra Russia e Ucraina  dal punto di vista militare sta trovando riscontro nel mondo Cyber. Da alcune settimane, precedenti alle operazioni militari, sono stati identificati diversi attacchi informatici nei confronti di aziende e istituzioni ucraine.<\/p>\n\n\n\n<p>Gli attacchi individuati oggi sono di diverse tipologie:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>attacchi DDoS<\/strong>, per rendere offline i siti e portali istituzionali ucraini<\/li><li><strong>attacchi Ransomware e Wiper<\/strong>, per distruggere e sabotare le infrastrutture (<em>HermeticWiper e Party Ticket<\/em>)<\/li><li><strong>attacchi Malware\/Spyware\/Trojan<\/strong>, per l&#8217;accesso alle infrastrutture (nessuna informazione pubblica)<\/li><\/ul>\n\n\n\n<p>Negli ultimi anni, i gruppi offensivi associati al governo russo, hanno dimostrato dimistichezza con altre tattiche offensive:<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><thead><tr><th class=\"has-text-align-center\" data-align=\"center\"><strong>Tattiche<\/strong><\/th><th class=\"has-text-align-center\" data-align=\"center\"><strong>Procedure<\/strong><\/th><\/tr><\/thead><tbody><tr><td class=\"has-text-align-center\" data-align=\"center\">Initial Access<\/td><td class=\"has-text-align-center\" data-align=\"center\">Office365 Brute force<br>Vulnerabilit\u00e0 VPN<br>E-Mail di Spearphishing<\/td><\/tr><tr><td class=\"has-text-align-center\" data-align=\"center\">Credential Access<\/td><td class=\"has-text-align-center\" data-align=\"center\">Dump &#8220;ntds.dit&#8221; dal Domain Controller<\/td><\/tr><tr><td class=\"has-text-align-center\" data-align=\"center\">Discovery<\/td><td class=\"has-text-align-center\" data-align=\"center\">BlodHound<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:100%\">\n<div class=\"wp-block-yoast-seo-table-of-contents yoast-table-of-contents\"><h2>Indice<\/h2><ul><li><a href=\"#h-russia-intelligence-e-gruppi-apt\" data-level=\"2\">Russia &#8211; Intelligence e gruppi APT<\/a><\/li><li><a href=\"#h-informazioni-pubbliche-sul-wiper\" data-level=\"2\">Informazioni pubbliche sul Wiper<\/a><\/li><li><a href=\"#h-dinamica-dell-attacco\" data-level=\"2\">Dinamica dell&#8217;attacco<\/a><\/li><li><a href=\"#h-dettagli-hermeticwiper\" data-level=\"2\">Dettagli &#8211; HermeticWiper<\/a><\/li><li><a href=\"#h-indicatori-di-compromissione\" data-level=\"2\">Indicatori di Compromissione<\/a><\/li><li><a href=\"#h-riferimenti\" data-level=\"2\">Riferimenti<\/a><\/li><\/ul><\/div>\n<\/div>\n<\/div>\n\n\n\n<h2 class=\"has-text-align-center wp-block-heading\" id=\"h-russia-intelligence-e-gruppi-apt\"><br>Russia &#8211; Intelligence e gruppi APT<\/h2>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"674\" height=\"870\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2022\/02\/Groups-Russia.jpg\" alt=\"\" class=\"wp-image-4360\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/Groups-Russia.jpg 674w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/Groups-Russia-232x300.jpg 232w\" sizes=\"(max-width: 674px) 100vw, 674px\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-informazioni-pubbliche-sul-wiper\">Informazioni pubbliche sul Wiper<\/h2>\n\n\n\n<p>Il nome del Wiper \u00e8 dovuto al certificato che \u00e8 stato utilizzato dal gruppo attaccante per la creazione del <em>file <\/em>eseguibile. Infatti, la societ\u00e0 a cui \u00e8 stato associato il certificato risulta essere Hermetica Digital Ltd (societ\u00e0 fittizia o non pi\u00f9 attiva). Il certificato \u00e8 stato revocato dopo i primi report dell&#8217;analisi del malware: <\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"697\" height=\"394\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2022\/02\/FirmaRevocata.png\" alt=\"\" class=\"wp-image-4353\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/FirmaRevocata.png 697w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/FirmaRevocata-300x170.png 300w\" sizes=\"(max-width: 697px) 100vw, 697px\" loading=\"lazy\" \/><figcaption><em>Dettaglio della firma in un sample di HermeticWiper<\/em><\/figcaption><\/figure><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-dinamica-dell-attacco\">Dinamica dell&#8217;attacco<\/h2>\n\n\n\n<p><strong>Il Wiper \u00e8 stato veicolato<\/strong> all&#8217;interno delle infrastrutture <em>target <\/em><strong>tramite la creazione di una<\/strong> <strong>GPO <\/strong>(Group Policy Object) <strong>da Domain Controller<\/strong>, distribuendo in tal modo il codice malevolo sia su sistemi Server che Workstation.<\/p>\n\n\n\n<p>Questo tipo di attacco richiede un precedente accesso all&#8217;infrastruttura:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>per mezzo di Trojan<\/li><li>tramite accesso VPN<\/li><li>tramite vulnerabilit\u00e0 di sistemi perimetrali<\/li><\/ul>\n\n\n\n<p>In alcuni attacchi \u00e8 stato osservato il <em>deploy <\/em>di un <strong>Ransomware<\/strong> (Party Ticket).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-dettagli-hermeticwiper\">Dettagli &#8211; HermeticWiper<\/h2>\n\n\n\n<p>I primi <em>sample <\/em>di questo wiper sono stati identificati nel pomeriggio del <strong>23 Febbraio<\/strong>; tuttavia, la data di compilazione dei <em>file <\/em>risale al <strong>28 Dicembre 2021<\/strong>, probabile data di avvio della produzione degli strumenti per eseguire l\u2019attacco.<\/p>\n\n\n\n<p>La caratteristica principale del <em>malware <\/em>\u00e8 quella di modificare i primi <strong>512 byte <\/strong>del <strong>Master Boot Record <\/strong>(MBR) di tutti i dispositivi di archiviazione collegati in modo da impedire l\u2019avvio del sistema a seguito del suo spegnimento.<\/p>\n\n\n\n<p>Il malware crea temporaneamente un driver e un servizio di sistema, inoltre modifica alcune chiavi di registro, a titolo di esempio &#8220;SYSTEM\\CurrentControlSet\\Control\\CrashControl CrashDumpEnabled&#8221;&nbsp;con valore <strong>0<\/strong> per disabilitare i <em>crash dump <\/em>prima dell\u2019esecuzione del driver.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"643\" height=\"85\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2022\/02\/Immagine1.jpg\" alt=\"\" class=\"wp-image-4343\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/Immagine1.jpg 643w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/Immagine1-300x40.jpg 300w\" sizes=\"(max-width: 643px) 100vw, 643px\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<p>Il driver utilizzato (empntdrv.sys) proviene da <strong>EaseUS Partition Manager <\/strong>(software lecito). Questo viene abusato per ottenere informazioni sulle partizioni e per poi avviare le attivit\u00e0 di wiping.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"497\" height=\"315\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2022\/02\/Immagine2.png\" alt=\"\" class=\"wp-image-4344\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/Immagine2.png 497w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2022\/02\/Immagine2-300x190.png 300w\" sizes=\"(max-width: 497px) 100vw, 497px\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-indicatori-di-compromissione\">Indicatori di Compromissione<\/h2>\n\n\n\n<h5 class=\"wp-block-heading\" id=\"h-\"><\/h5>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><tbody><tr><td><strong>HermeticWiper<\/strong><\/td><td><strong>Hash<\/strong><\/td><\/tr><tr><td><strong>Win32 EXE<\/strong><strong><\/strong><\/td><td>MD5:&nbsp; 84ba0197920fd3e2b7dfa719fee09d2f &nbsp;<br>SHA1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77 &nbsp; <br>SHA256: 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da<\/td><\/tr><tr><td><strong>Win32 EXE<\/strong><strong><\/strong><\/td><td>MD5: 3f4a16b29f2f0532b7ce3e7656799125 <br>SHA1: 61b25d11392172e587d8da3045812a66c3385451 &nbsp; <br>SHA256: 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><tbody><tr><td><strong>ms-compressed<\/strong><\/td><td><strong>MD5<\/strong><\/td><\/tr><tr><td><strong>RCDATA_DRV_X64<\/strong><strong><\/strong><\/td><td>a952e288a1ead66490b3275a807f52e5<\/td><\/tr><tr><td><strong>RCDATA_DRV_X86<\/strong><\/td><td>231b3385ac17e41c5bb1b1fcb59599c4<\/td><\/tr><tr><td><strong>RCDATA_DRV_XP_X64<\/strong><strong><\/strong><\/td><td>095a1678021b034903c85dd5acb447ad<\/td><\/tr><tr><td><strong>RCDATA_DRV_XP_X86<\/strong><\/td><td>eb845b7a16ed82bd248e395d9852f467<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h5 class=\"wp-block-heading\" id=\"h-\"><\/h5>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><tbody><tr><td><strong>Trojan.Killdisk<\/strong><\/td><td>SHA256: a64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e<\/td><\/tr><tr><td><strong>Ransomware<\/strong><\/td><td>SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-riferimenti\">Riferimenti<\/h2>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-047a\">Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology | CISA<\/a><\/li><li><a href=\"https:\/\/www.sentinelone.com\/labs\/hermetic-wiper-ukraine-under-attack\/\">HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine &#8211; SentinelOne<\/a><\/li><li><a href=\"https:\/\/www.welivesecurity.com\/2022\/02\/24\/hermeticwiper-new-data-wiping-malware-hits-ukraine\/\">HermeticWiper: New data\u2011wiping malware hits Ukraine | WeLiveSecurity<\/a><\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Resoconto riguardante le operazioni offensive informatiche condotte dalla Russia nei confronti di infrastrutture ucraine durante l&#8217;avvio del conflitto.<\/p>\n","protected":false},"author":7,"featured_media":4360,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1521,1523,1525],"class_list":["post-4340","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-attacchi-informatici-it","tag-hermeticwiper-it","tag-wiper-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=4340"}],"version-history":[{"count":21,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4340\/revisions"}],"predecessor-version":[{"id":4374,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/4340\/revisions\/4374"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/4360"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=4340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=4340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=4340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}