Potao Express: quando non servono grandi mezzi per una campagna di spionaggio

Potao Express è una campagna di cyberspionaggio attiva in Russia, Georgia, Ucraina e Bielorussia che non ha sfruttato vulnerabilità per diffondersi, ma solo tecniche di ingegneria sociale.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Siamo nel 2015 e nel mondo sono attive decine di campagne di cyberspionaggio. Perché un'azione che ha come bersaglio alcune nazioni dell'ex blocco sovietico dovrebbe suscitare il nostro interesse? Perché ESET, società specializzata in sicurezza informatica, ha appena rilasciato un white paper che dimostra come non servano grandi competenze per portare a termine campagne di cyberspionaggio con bersagli anche di alto livello.

Analizzando come si è evoluto Potao e in quali campagne è stato usato, si vede chiaramente l'astuzia di chi pianifica azioni di questo tipo senza grandi mezzi.

Diffusione

Ultimamente Potao è molto attivo tra i malware diffusi in zone russofone. Eppure non sfrutta alcuna tecnologia super avanzata per la diffusione...

Potao è un malware pensato per rubare credenziali, dati sensibili e documenti che è apparso su Internet nel 2011. All'inizio si comportava come un normale malware "di massa", attaccando indistintamente gli utenti Internet a cui veniva inviato tramite una campagna di phishing generico.

Nel 2012, però, ha avuto una netta inversione di tendenza e ha iniziato a essere usato esclusivamente in campagne di tipo mirato, nei territori di lingua russa. In particolare, è stato usato in un'azione mirata ai membri di MMM, una struttura piramidale che ha causato grandi perdite finanziarie a molti investitori alla fine degli anni '90.

Cosa è successo per assistere una tale inversione di tendenza? Possibile che nel gruppo di Potao si fosse infiltrato un membro dell'intelligence occidentale, interessato a campagne di spionaggio in territorio russo? O magari qualcuno li ha notati e si sono trasformati in mercenari?

L'ipotesi più probabile è anche la più "interessante" dal punto di vista informatico. Semplicemente, la prima parte della vita del malware serviva come test e debugging. In altre parole, per esser certi che il codice funzionasse a dovere hanno "reclutato" un gran numero di beta tester, infettandone i computer.

In questo modo hanno avuto modo di provare due cose: l'efficacia e precisione del codice e le tecniche migliori per diffondere i malware tramite tecniche di Phishing. A questo proposito, va notato che Potao non ha mai usato tecniche complesse per propagarsi, ma ha sempre fatto leva su ingegneria sociale molto ben pensata.

Infatti, negli anni a seguire Potao ha dimostrato quanto possano essere efficacie le campagne di phishing nella propagazione del malware in attacchi mirati.

In particolare, nelle mail inviate erano sempre presenti due elementi distinti. I file eseguibili allegati erano camuffati da documenti di Office e si prendevano delle precauzioni per non allertare l'utente dopo l'apertura del malware.

camuffo docs

Ecco come appaiono gli installer di Potao a chi li riceve in posta. Come si può sperare che chi non ha una preparazione informatica di un certo livello non clicchi su quegli allegati?

Per quello che riguardava il camuffare i file eseguibili, venivano usati nomi abbastanza lunghi da esser troncati dalla maggior parte dei client di posta, in modo da nascondere l'estensione .exe. Inoltre, l'icona del file veniva sostituita con una presa da un vero documento Word o Excel. Un normale impiegato aziendale avrebbe avuto pochi sospetti a cliccarci sopra.

Una volta aperto l'allegato, per evitare che l'utente si insospettisse in caso di comportamento anomalo della macchina (clicco su di un documento Word e non succede niente), veniva davvero aperto Word (o Excel), ma con un documento che appariva "rovinato", pieno di parole sensate, ma disordinate, per convincere l'utente che il file era stato corrotto durante l'invio e quindi fosse inutilizzabile.

Un altro metodo di diffusione usato, sempre basato sul phishing, consisteva nell'incoraggiare gli utenti presi di mira a scaricare una versione gratuita di TrueCrypt, un software di criptazione dei dati, che era però stata modificata dai criminali in modo da installare prima il loro malware Potao.

All'indirizzo www. truecryptrussia.ru, infatti, si trova un dominio aperto appositamente dagli autori di questa campagna per non insospettire le potenziali vittime, con una replica ragionevolmente convincente del vero sito di TrueCrypt.

Ovviamente, chi monta un antivirus viene avvisato che il file è infetto, ma chi non usa precauzioni di un certo livello rischia di cadere nella trappola senza problemi. Anche perché l'abilità di chi confeziona le email esca è notevole. Immaginate di ricevere una mail che sembri la newsletter di Tom's Hardware in cui si annuncia una fantastica promozione grazie alla quale un produttore di software regala una versione gratuita del suo prodotto ai lettori del nostro sito. Quanti ci cadrebbero, andando a scaricare il software da quello che sembra anche un sito "vero"?

truefalso

Anche in questo caso, va elogiata la cura con cui la trappola è stata preparata. Sembra davvero un sito affidabile.

Inoltre, nelle campagne mirate vere e proprie, che hanno colpito tra gli altri anche rappresentanti del governo ucraino e molte figure d'alto livello del business russofono, c'è stato un grande utilizzo di SMS come ulteriore mezzo di infezione. Anche in questo caso, la creatività espressa dai criminali è quasi ammirevole.

Nei messaggi di testo si simulava una informazione automatica sul tracciamento di un pacco che era stato spedito al bersaglio dell'attacco. Inserendo l'indirizzo internet riportato nell'SMS di apriva un sito che appariva come la replica di un sito di spedizioni di Singapore (Singapore Post), modificato per farlo apparire italiano (Italia Post). Una volta inserito il codice fornito, l'utente scaricava una copia di Potao, stavolta camuffato da PDF.

ItaliaPost
Un sito così ben fatto che riporta anche un vero numero di telefono nella zona dei contatti. Per questo lo abbiamo oscurato.

E dopo gli SMS, si scopre anche che Potao non si è servito solo di phishing per la sua diffusione. A un certo punto del 2013, infatti, è apparso un nuovo vettore di infezione: la chiavetta usb. Anche in questo caso, però, con un interessante variante: chi lancia l'installazione del malware è sempre e comunque l'utente, indotto a cliccare sul file infetto con l'ennesimo stratagemma.

Inserendo una delle chiavette che portano Potao, infatti, si apre la solita finestra dell'Esplora Risorse di Windows che, però, mostra di nuovo l'icona della chiavetta usb, come se non fosse stata aperta.

Quella, però, è semplicemente un'icona della memoria di massa di Windows applicata a un eseguibile (l'installer di Potao) e quindi l'utente che crede di star aprendo (di nuovo) la chiavetta usb installa invece il malware.