Il 17 Ottobre 2018 una organizzazione italiana operante nel campo della sicurezza informatica ha rilasciato pubblicamente l'analisi di una minaccia denominata "MartyMcFly" che ha colpito alcune organizzazioni operanti nel settore navale Italiano. La minaccia è stata classificata come "mirata" in quanto appositamente creata per il settore di riferimento, di fatto se lo stesso attacco fosse stato realizzato verso un bersaglio differente come per esempio una industria dolciaria o automobilistica non sarebbe risultato efficace per la tipologia della minaccia stessa in quanto contenente riferimenti espliciti al mondo navale. Il lettore più tecnico puo trovare ulteriori dettagli ai seguenti indirizzi: analisi originale, analisi specifica, articolo con principale focus sul business navale risultante come vittima ed infine un articolo con focus sul misterioso motivo del nome "MartyMcFly".
Pochi giorni dopo l'analisi realizzata da Yoroi, un integrazione da parte di Kaspersky ICS-Cert suggerisce che la minaccia potrebbe essere di caratura ben piu ampia, infatti secondo gli analisti "oltralpe" tale minaccia potrebbe essere correlata ad un insieme di attacchi presenti in altre parti del mondo come per esempio: Germaia, Spagna, India ed alcune zone del nord Africa. Questo nuovo perimetro ha incuriosito gli analisti della italianissima Yoroi che, realizzando una cyberforce con il security operation center di Fincantieri, una delle principali organizzazioni europee operante del settore navale, ha avviato una nuova analisi basata su ulteriori evidenze in possesso di del colosso navale Italiano.
Fincantieri non era stata precedentemente attaccata da "MartyMcFly" ma ultimamente il suo reparto di sicurezza aveva osservato ulteriori minacce avente come apparente modus operandi quello utilizzato in "MartyMcFly".
La cyberforce formata dagli analisti di Yoroi e dal security operation center di Fincantieri ha prodotto un report (consultabile al seguente indirizzo) il quale descrive la natura delle minacce evidenziando similitudini e differenze con "MartyMcFly". Le evidenze estratte testimoniano che le minacce analizzate possiedono artefatti differenti ma condividono una forte analogia nel vettore di attacco. Considerando quest'ultimo entrambe le campagne malevole utilizzano il vettore email impersonificando service provider e piccole realtà operanti come fornitori nell' industria navale.
Questo è un forte indice di minaccia "mirata" in quanto l'attaccante deve individuare una lista di possibili fornitori dell'industria "target" al fine di utilizzare lo stesso linguaggio e sfruttare il proprio nome per apparire come un reale fornitore della stessa. Un altro indice di similitudine è stato quello di utilizzare domini "simili" a domini realmente esistenti nell' ecosistema dei fornitori dell'industria navale. Per esempio nel caso analizzato dalla CyberForce il dominio malevolo "anchors-chain.com" è stato utilizzato al posto del dominio originale "anchor-chain.com" con l'intento di sfruttare la reputazione del noto produttore di Ancore Asiatico.
Un altra similitudine con "MartyMcFly" proviene dall'utilizzo di un linguaggio specifico del settore navale e da una superficiale conoscenza di "parti di ricambio" per imbarcazioni anche utilizzate nel settore della difesa marittima. Tali "ricambi" venivano citati piu volte all'interno delle email fraudolente al fine di indurre la vittima ad aprire un documento allegato all'email stessa. Un altra debole similitudine è nel probabile utilizzo da parte dell' attaccante di Microsoft Word 2013 (si riporta il lettore all'analisi originale presente al seguente indirizzo).
Nonostante l'evidente "modus operandi" che coadiuva le due minacce individuate su organizzazioni differenti e con tempistiche differenti è possibile apprezzare differenze significative nel payload utilizzato per attaccare la vittima. Nel caso di "MartyMcFly" il payload risultate era un noto RAT (Remote Access Trojan) il quale veniva utilizzato per mantenere il controllo delle macchine attaccate al fine di prelevare silentemente informazioni ed eventualmente manomettere documenti. Contrariamente nel nuovo caso analizzato dalla cyberforce italiana il payload risultante era una pagina web avente come fine ultimo quello di frodare credenziali.
Il percorso di "Drop" del payload è un altra evidente differenza ove nel caso di "MartyMcFly" veniva utilizzato un sistema a multi-stage basato su "Microsoft Office Default Encryption OLE OBJ" il quale sfruttava a sua volta una vulnerabilita nota come CVE-2017-11882 (più comunemente chiamata Microsoft EquationEditor vulnerability) la quale prelevava dal web il RAT e lo eseguiva in memoria in modalità file-less. Contrariamente nel caso analizzato sulle evidenze di Fincantieri il payload finale era una pagina web di phishing di una nota azienda di spedizioni marittime con fine ultimo quello di intercettare le credenziali in possesso della vittima.
Le evidenze analizzate palesemente mostrano che l'industria navale italiana sia soggetta, in questi ultimi mesi, ad attacchi mirati (NB: la cyberforce italiana non ha evidenze specifiche su eventuali attacchi a danno dell’ industria navale straniera e per questo non può escludere l'appartenenza ad un attacco di più ampio spettro).
Le analogie con "MartyMcFly" sono principalmente legate al vettore di attacco ed al modus operandi "umano" (ossia il modo con cui sono state realizzare le email, la tipologia di aziende impersonificate ed i domini "contraffatti") mentre dal lato tecnico non risultano particolari similitudini. Infatti "MartyMcFly" aveva come obiettivo la persistenza all'interno dell'industria navale sfruttando tecniche avanzate nel nascondere il reale payload e nel suo delivery, mentre le ultime minacce analizzate evidenziano una volontà di furto di credenziali verso servizi di spedizione navale.
Per questo motivo la CyberForce Italiana non ha sufficienti elementi per attribuire un unica matrice alle differenti campagne malevole ma comunque vuole mettere allerta tutte le organizzazioni operanti nel settore Navale consigliando di innalzare il livello di attenzione alle email provenienti da apparenti fornitori.