Microsoft rivela BadPilot, una campagna pluriennale di Seashell Blizzard di impatto globale

Ieri Microsoft ha pubblicato un’approfondita analisi su BadPilot, una campagna pluriennale a opera di un sottogruppo di Seashell Blizzard, nota gang hacker di matrice russa.

“Questo sottogruppo ha eseguito compromissioni differenti a livello globale ai danni di infrastrutture esposte su Internet per permettere a Seashell Blizzard di ottenere la persistenza su obiettivi ad alto valore e supportare operazioni di rete ad hoc” si legge nel report di Microsoft Threat Intelligence.

Anche se le attività del sottogruppo sono in parte opportunistiche, è indubbio che forniscono a Seashell Blizzard e al governo russo nuove opportunità per attaccare i propri obiettivi. Secondo i ricercatori di Microsoft, le operazioni di BadPilot hanno probabilmente permesso l’esecuzione di almeno tre cyberattacchi contro l’Ucraina a partire dal 2023.

Le attività del sottogruppo di Seashell Blizzard

Il team di Threat Intelligence di Microsoft spiega che gli attaccanti dietro BadPilot agiscono per scalare le operazioni di Seashell Blizzard e ottenere persistenza su nuovi obiettivi, in base al settore di interesse per il governo russo. Inizialmente concentrate solo sull’Ucraina, le attività si sono progressivamente globalizzate man mano che gli equilibri del conflitto evolvevano.

Per ottenere l’accesso iniziale, il gruppo ha sfruttato vulnerabilità delle infrastrutture esposte al web individuate tramite appositi strumenti di scansione di terze parti. Secondo i ricercatori di Microsoft, gli hacker hanno utilizzato almeno otto vulnerabilità presenti in diversi prodotti quali, tra gli altri, Exchange, Outlook, JBOSS e TeamCity di JetBrains.

In caso di successo, il gruppo ha eseguito una serie di misure per ottenere persistenza a lungo termine sui sistemi, sia per scopi di cyberspionaggio che per eseguire attacchi mirati e distruttivi.

Il sottogruppo ha usato diversi pattern per gli exploit. Uno dei più recenti comprende l’uso delle suite RMM (Remote Monitoring and Management), usate solitamente dagli MSP per il monitoraggio remoto dei sistema. Il gruppo ha usato software come Atera Agent e Splashtop Remote Service per abilitare diverse funzionalità di comunicazione C2 mascherandosi da utility legittima, rendendole così più difficili da individuare.

Richiedi prestito online

Procedura celere

 

Credits: Microsoft

Sin dall’inizio il gruppo ha anche utilizzato web shell per mantenere il controllo dei sistemi ed eseguire comandi per lo spostamento laterale. Ad oggi questo rimane il pattern di sfruttamento più utilizzato dal gruppo, eseguito in seguito allo sfruttamento di vulnerabilità di Microsoft Exchange e Zimbra.

Per il movimento laterale, il sottogruppo di Seashell Blizzard utilizza strumenti di tunneling quali Chisel, plink e rsockstun che gli consentono di creare dei canali dedicati nella rete compromessa. In alcune operazioni più mirate, il gruppo ha anche cercato e sottratto credenziali utente per accedere a informazioni sensibili e ampliare il proprio accesso nella rete.

L’impatto della campagna

Stando all’analisi di Microsoft Threat Intelligence, la campagna è attiva almeno dal 2021 e ha colpito realtà di settori critici quali l’energetico, il petrolifero, le telecomunicazioni, la logistica, la manifattura di armi e governi di tutto il mondo. Inizialmente il gruppo prendeva di mira obiettivi in Ucraina e nell’Est Europa, ma a partire da inizio 2024 ha ampliato i propri confini per raggiungere il Regno Unito, gli Stati Uniti, l’Asia Centrale e Meridionale e il Medio Oriente.

“Dato che Seashell Blizzard è la punta di diamante informatica della Russia in Ucraina, Microsoft Threat Intelligence ritiene che questo sottogruppo di accesso continuerà a sviluppare nuove tecniche scalabili orizzontalmente per compromettere le reti sia in Ucraina che a livello globale a sostegno degli obiettivi di guerra della Russia e delle priorità nazionali in evoluzione” avverte il team di Microsoft.

Per aumentare le proprie difese contro Seashell Blizzard e minacce analoghe, gli esperti consigliano di adottare un sistema di gestione automatizzata delle vulnerabilità e implementare l’autenticazione multi-fattore. Le organizzazioni dovrebbero inoltre implementare controlli di accesso e di identità più severi e robusti e abilitare l’autenticazione per tutte le connessioni RDP.