Il malware trova un alleato inconsapevole in GitHub

Solo perché è su GitHub non significa che sia legittimo. Trend Micro ha avvertito che un gruppo di spionaggio motivato finanziariamente sta abusando di un repository GitHub per comunicazioni C&C (comando e controllo).

I ricercatori hanno scoperto che il malware utilizzato da Winnti, un gruppo noto principalmente per prendere di mira l'industria dei giochi online, si stava connettendo a un account GitHub per ottenere la posizione esatta dei suoi server C&C. Il malware ha cercato una pagina HTML archiviata nel progetto GitHub per ottenere la stringa crittografata contenente l'indirizzo IP e il numero di porta per il server C&C, ha scritto Cedric Pernet, ricercatore di minacce Trend Micro, sul blog TrendLabs Security Intelligence. Si collegherà quindi a quell'indirizzo IP e alla porta per ricevere ulteriori istruzioni. Finché il gruppo mantiene la pagina HTML aggiornata con le ultime informazioni sulla posizione, il malware sarà in grado di trovare e connettersi al server C&C.

L'account GitHub conteneva 14 diversi file HTML, tutti creati più volte, con riferimenti a quasi due dozzine di combinazioni di indirizzi IP e numeri di porta. C'erano 12 indirizzi IP, ma gli aggressori hanno ruotato tra tre diversi numeri di porta: 53 (DNS), 80 (HTTP) e 443 (HTTPS). Trend Micro ha esaminato il primo e l'ultimo timestamp di commit sui file HTML per determinare che le informazioni sul server C&C venivano pubblicate nel progetto dal 17 agosto 2016 al 12 marzo 2017.

L'account GitHub è stato creato a maggio 2016 e il suo unico repository, mobile-phone-project, è stato creato a giugno 2016. Il progetto sembra derivare da un'altra pagina GitHub generica. Trend Micro ritiene che l'account sia stato creato dagli stessi aggressori e non sia stato dirottato dal proprietario originale.

"Abbiamo divulgato privatamente i nostri risultati a GitHub prima di questa pubblicazione e stiamo lavorando in modo proattivo con loro su questa minaccia", ha detto Pernet. contattato GitHub per ulteriori informazioni sul progetto e si aggiornerà con eventuali dettagli aggiuntivi.

GitHub non è estraneo a un uso improprio

Le organizzazioni potrebbero non essere immediatamente sospettose se vedono molto traffico di rete per un account GitHub, il che è positivo per il malware. Inoltre, rende la campagna di attacco più resiliente, poiché il malware può sempre ottenere le informazioni più recenti sul server anche se il server originale viene arrestato dalle forze dell'ordine. Le informazioni del server non sono codificate nel malware, quindi sarà più difficile per i ricercatori trovare i server C&C se incontrano solo il malware.

"L'abuso di piattaforme popolari come GitHub consente agli attori delle minacce come Winnti di mantenere la persistenza della rete tra i computer compromessi ei loro server, rimanendo sotto il radar", ha affermato Pernet.

GitHub è stato informato del repository problematico, ma questa è un'area delicata, poiché il sito deve fare attenzione a come reagisce alle segnalazioni di abuso. Chiaramente non vuole che il suo sito venga utilizzato da criminali per trasmettere malware o per commettere altri crimini. I termini di servizio di GitHub sono molto chiari su questo punto: "Non devi trasmettere alcun worm o virus o codice di natura distruttiva".

Ma non vuole nemmeno interrompere la ricerca legittima sulla sicurezza o lo sviluppo educativo. Il codice sorgente è uno strumento e da solo non può essere considerato buono o cattivo. È l'intento della persona che esegue il codice che lo rende vantaggioso, come ricerca sulla sicurezza o utilizzato in difesa, o dannoso, come parte di un attacco.

Il codice sorgente della botnet Mirai, l'enorme botnet IoT dietro la serie di paralizzanti attacchi di negazione del servizio distribuiti lo scorso autunno, può essere trovato su GitHub. In effetti, più progetti GitHub ospitano il codice sorgente Mirai e ciascuno è contrassegnato come destinato a "Ricerca / IoC [Indicatori di compromesso] Scopi di sviluppo".

Quell'avvertimento sembra essere sufficiente a GitHub per non toccare il progetto, anche se ora chiunque può utilizzare il codice e creare una nuova botnet. L'azienda non basa il proprio processo decisionale sulla possibilità che il codice sorgente possa essere utilizzato in modo improprio, soprattutto nei casi in cui il codice sorgente deve prima essere scaricato, compilato e riconfigurato prima di poter essere utilizzato in modo dannoso. Anche in questo caso, non esegue la scansione o il monitoraggio dei repository alla ricerca di progetti utilizzati attivamente in modo dannoso. GitHub indaga e agisce sulla base dei rapporti degli utenti.

Lo stesso ragionamento vale per i progetti ransomware EDA2 e Hidden Tear. Sono stati originariamente creati come prove di concetti didattici e pubblicati su GitHub, ma da allora sono state utilizzate variazioni del codice negli attacchi ransomware contro le imprese.

Le Linee guida della community forniscono informazioni più dettagliate sul modo in cui GitHub valuta i potenziali progetti problematici: "Far parte di una community include non sfruttare altri membri della community. Non consentiamo a nessuno di utilizzare la nostra piattaforma per la distribuzione di exploit, come l'hosting dannoso eseguibili o come infrastruttura di attacco, ad esempio organizzando attacchi denial of service o gestendo server di comando e controllo. Si noti, tuttavia, che non vietiamo la pubblicazione di codice sorgente che potrebbe essere utilizzato per sviluppare malware o exploit, come la pubblicazione e la distribuzione di tale codice sorgente ha valore educativo e fornisce un vantaggio netto alla comunità della sicurezza ".

I criminali informatici si affidano da tempo a noti servizi online per ospitare malware per ingannare le vittime, eseguire server di comando e controllo o nascondere le loro attività dannose dalle difese di sicurezza. Gli spammer hanno utilizzato accorciatori di URL per reindirizzare le vittime a siti fraudolenti e dannosi e gli aggressori hanno utilizzato Google Docs o Dropbox per creare pagine di phishing. L'abuso di servizi legittimi rende difficile per le vittime riconoscere gli attacchi, ma anche per gli operatori del sito capire come impedire ai criminali di utilizzare le loro piattaforme.