Un gruppo hacker mai documentato in precedenza, chiamato Tortoiseshell e di provenienza al momento ignota, avrebbe colpito ben 11 provider, per la maggior parte locati in Arabia Saudita, con l'intento di accedere a determinati computer attraverso le loro reti. Con molta probabilità l'interesse era focalizzato su aziende petrolifere e sulla catena dei rifornimenti. È quanto emerge da un report di Symantec, che ha anche analizzato le tecniche di attacco utilizzate.
Il gruppo, che sarebbe attivo almeno dal luglio dello scorso anno, avrebbe dimostrato di possedere conoscenze tecniche elevate, utilizzando un mix di strumenti già preesistenti e altri completamente personalizzati. Almeno in due delle undici azioni intraprese inoltre, gli hacker avrebbero ottenuto con successo l'accesso a livello di amministratore di dominio alle reti, assicurandosi così il controllo di tutti i computer connessi.
Nonostante questo però, da un punto di vista tecnico, gli attacchi hanno destato anche qualche perplessità, come se a queste elevate capacità tecniche si accompagnasse una scarsa chiarezza di intenti. "La parte più avanzata di questa campagna è la pianificazione e l'implementazione degli attacchi stessi", ha scritto in una e-mail un membro del team di ricerca di Symantec. "L'attaccante doveva avere più obiettivi, raggiunti in modo operativo al fine di compromettere i veri obiettivi che avrebbero avuto relazioni con il provider IT. L'uso di malware unico, sviluppato appositamente per una campagna avanzata come questa dimostra che l'attaccante ha risorse e capacità che la maggior parte degli avversari di livello basso a medio semplicemente non hanno".
Sviluppato in Delphi e .NET, il componente unico utilizzato da Tortoiseshell è un malware chiamato Backdoor.Syskit, una backdoor di base, in grado di scaricare ed eseguire strumenti e comandi aggiuntivi, al fine di raccogliere e inviare a un server l'indirizzo IP e quello MAC della macchina, il nome del sistema operativo e la versione, utilizzando l'URL nella chiave del Registro di sistema Sendvmd, dopo aver codificato il tutto in Base64.
La backdoor aveva tra gli altri anche un comando "kill me" per disinstallarla e rimuovere tutte le tracce di infezione, suggerendo così che la segretezza fosse una priorità dell'attacco. Tuttavia in due delle reti compromesse sono stati individuati centinaia di computer connessi infettati dal malware, un numero insolitamente elevato, che sembra suggerire la necessità, da parte degli hacker, di infettare molte macchine prima di riuscire a identificare quelle di interesse, rendendo tra l'altro più facile accorgersi dell'attacco in corso.
Un pezzo inspiegabile del puzzle è rappresentato dall'installazione di uno strumento dannoso, soprannominato PoisonFrog, circa un mese prima che gli strumenti di Tortoiseshell entrassero in azione, uno strumento solitamente ricondotto nel recente passato a APT34, un gruppo d'attacco sponsorizzato dal governo iraniano, o alternativamente OilRig, i cui server sono stati a loro volta attaccati recentemente da Turla, un gruppo hacker che sembra essere legato al governo russo.
Il report di Symantec contiene gli indirizzi IP dei server di controllo Tortoiseshell e gli hash crittografici del software utilizzato dal gruppo. Questo consentirà quindi agli addetti alal cybersicurezza di utilizzare questi indicatori per verificare se le proprie reti abbiano subito lo stesso tipo di attacco.
