Operation Bloodninja Phishing Campaign Analysis Report
Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php... 6.htaccess... 6 Tracciamento... 7 Conclusioni... 7 Sample... 8 About Tiger Security... 8 i
Executive Summary Il Cyber Intelligence Operation Center (CIOC) di Tiger Security ha rilevato in rete una campagna cyber- criminale di tipo phishing mirata agli utenti del colosso statunitense CloudFlare, Operation Bloodninja. L operazione, condotta da uno o più individui di origini russofone, punta a reperire le credenziali di accesso per gli account CloudFlare, facendo forza su un buon grado di sofisticazione e diversi accorgimenti atti ad ingannare le potenziali vittime. Una volta compromessi gli account, il criminale è potenzialmente in grado di eseguire molteplici operazioni con diverse finalità, inclusa la creazione di sottodomini fraudolenti da utilizzare in altre attività malevole, la conduzione di attacchi Man in the Middle (MitM), Session Hijacking, Domain Shadowing e Distributed Denial of Service (DDoS). 1
Technical Analysis Attack Flow Lo schema criminale prevede una prima raccolta di informazioni relative agli account email di soggetti i cui nomi a dominio sono amministrati da CloudFlare. A tale scopo l attaccante utilizza lo strumento whois, grazie al quale è possibile recuperare i contatti email. Contestualmente all inizio delle operazioni, il cyber- criminale deve poter disporre di una serie di portali compromessi dove caricare il kit di phishing. Nel caso specifico, sono state presumibilmente sfruttate vulnerabilità note dei CMS più popolari (Wordpress, Drupal, Joomla..), alternate ad attacchi a forza bruta (brute force) per il reperimento di credenziali di amministrazione. A questo punto viene eseguito l upload del kit malevolo, composto da tre file (login_a.php, css.php e wp- config.php) più un quarto che viene generato in fase di esecuzione (.htaccess). 2
Successivamente, attraverso il file wp- config.php, viene creata la nuova campagna di phishing mirata e inizia l invio massivo di email fraudolente. Per incrementarne il grado di legittimità, viene fatto uso della tecnica di spoofing del mittente che, nel caso analizzato, risulta essere support@t.cloudflare.com. Invitata a seguire un link per la verifica di presunti upgrade del servizio, la vittima viene indirizzata in realtà ad un falso pannello visibilmente identico a quello di login di CloudFlare, ma palesemente ospitato su un dominio non riconducibile alla compagnia americana. Nel caso in cui la vittima inserisca le proprie credenziali nel form artefatto, queste andranno a finire direttamente nella DropZone tramite una semplice chiamata GET in HTTP. 3
L ultimo step prevede la raccolta delle credenziali sottratte e il successivo utilizzo delle stesse per accedere agli account CloudFlare delle vittime. Components Analysis login_a.php Il file login_a.php è la pagina di login fraudolenta graficamente identica all originale. Nello screenshot proposto è possibile osservare la versione decriptata del codice PHP incaricato della gestione delle informazioni inviate dalle vittime, della creazione del file.htaccess e del reindirizzamento al reale dominio di CloudFlare. 4
In particolare, questo reindirizzamento avviene al termine del tentativo di login della vittima o nel caso in cui quest ultima torni una seconda volta sulla medesima pagina fraudolenta. Curiosamente, all interno del codice sono presenti dei commenti riconducibili ad una delle chat di Bloodninja 1 una sorta di vecchio tormentone comico della rete che dai primi anni 2000 viene saltuariamente riproposto dai ragazzini su internet. Questa particolarità è stata sfruttata per dare il nome all intera operazione cyber- criminale. css.php css.php è una semplice backdoor che consente al cyber- criminale di caricare all interno della stessa directory qualsiasi tipo di file, comprese ulteriori pagine PHP. 1 http://www.urbandictionary.com/define.php?term=bloodninja 5
wp- config.php Il file wp- config.php è invece uno script creato per l impostazione e l invio delle email fraudolente.htaccess Il file.htaccess viene creato a partire da login_a.php e serve all attaccante per poter utilizzare diversi e meno sospetti url che rimandino comunque al contenuto di login_a.php (url rewrite). 6
Tracciamento Gli attori di Operation Bloodninja sembrerebbero essere dell Est Europa e presumibilmente di origine russa. Le evidenze raccolte in fase di analisi dal CIOC di Tiger Security circoscriverebbero inoltre la presenza fisica di almeno uno dei cyber- criminali in Tailandia, più precisamente nella città di Bangkok. Conclusioni Il fine ultimo della campagna cyber- criminale sarà quello di ottenere accesso alla gestione di quanti più domini possibili con lo scopo di sfruttarli per attività fraudolente. Analizzando anche analoghe iniziative sempre mirate alla compromissione di account CloudFlare 2, uno dei principali obiettivi degli attaccanti, una volta ottenuto l accesso abusivo al pannello di gestione dei domini, è verosimilmente la creazione di nuovi sottodomini fraudolenti da utilizzare, ad esempio, per la conduzione di altri attacchi phishing verso terze realtà. La liberalizzazione dei caratteri all interno dei domini, permette infatti di inserirvi anche simboli come / che consentono al cyber- criminale di modificare a proprio piacimento sottodomini di terzo livello per renderli genuini agli occhi delle vittime. In questo modo il dominio modificato può apparire visivamente come un sottodominio di un portale legittimo: es: www.safesite.com login.html.evilsite.com Altri potenziali abusi della gestione di account CloudFlare potrebbero poi includere la conduzione di attacchi MitM e Session Hijacking, ove al cyber- criminale basterebbe virare il traffico a livello IP su un suo sistema per poi indirizzarlo nuovamente verso il server reale. Utilizzando questa tecnica, l attaccante avrebbe non solo la possibilità di collezionare i dati sensibili passanti, come username e password, ma anche quella di fare injection di exploit mirati a vulnerabilità browser. Non ultima, ma ritenuta meno plausibile, la possibilità che i cyber- criminali possano effettuare attività di Distributed Denial of Service (DDoS) mediante il reindirizzamento di molteplici hostname verso l IP dei target, sfruttando il traffico generato dai singoli utenti. 2 https://blog.cloudflare.com/of- phishing- attacks- and- wordpress- 0days/ 7
Sample MD5 (css.php) = 53e0eb8d87091a0563a5ae0292b632c2 MD5 (login_a.php) = 83b57e0a62602720e45d67d261c2e3e7 MD5 (wp- config.php) = 8ab426b48136cd50d6f68b705a399f01 About Tiger Security Tiger Security è una azienda Italiana leader nelle soluzioni di Cyber Intelligence e Information Security. La nostra base di clienti include sia il settore pubblico - Governi, forze di Polizia e Militare - che privato - specialmente in ambito infrastrutture critiche, sia in Italia che all estero. Inoltre, i nostri prodotti e servizi sono utilizzati da istituti di Ricerca Europei di avanguardia nel campo della cyber defence. L approccio e la value proposition di Tiger Security si pone come estensione delle policy di risk management dei nostri clienti, in un contesto dove la Cyber Intelligence e la sicurezza delle informazioni sono di rilevanza crescente in virtù della complessità, pericolosità e della continua evoluzione delle minacce digitali. La mission di Tiger Security è quella di scoprire, monitorare e tracciare minacce digitali utilizzando un approccio preventivo, non convenzionale ed innovativo che garantisca un significativo miglioramento del profilo di rischio dei nostri clienti. 8