Si chiama Platinum il gruppo di hacker che fa impazzire Microsoft
Il gruppo Windows Defender Advanced Threat Hunting di Microsoft sta operando per cercare di identificare e neutralizzare un gruppo di hacker che continua a perpetrare una serie di attacchi sin dal 2009. Il gruppo, battezzato Platinum, ha iniziato a mietere vittime nel Sud-Est Asiatico circa 7 anni fa, principalmente in Malesia e in Indonesia. Circa la metà degli attacchi sono stati indirizzati a organizzazioni governative di un qualche genere, incluse agenzie di intelligence e di difesa, e un altro 25% degli attacchi sono stati portati contro fornitori di servizi internet. L’obiettivo di questi attacchi non sembra avere un immediato ritorno in termini di liquidi e si connota come un più ampio spionaggio economico usando informazioni rubate.
Microsoft stessa non sembra conoscere molto di più sul team che sta operando gli attacchi. Le informazioni note indicano l’impiego di tecniche di spear-phishing per penetrare le reti bersaglio e l’uso di particolari misure per occultare le tracce: il gruppo Platinum avrebbe usato malware con funzionalità di autocancellazione, provvisti inoltre di accortezze per aggirare gli antivirus e malware che limita l’attività di rete solamente ad orari lavorativi, per rendere più difficoltosa l’individuazione di traffico anomalo.
Nel corso degli anni sarebbero state utilizzate numerose tecniche, comprese varie vulnerabilità 0-day, e una, piuttosto interessante, che sfrutta alcune funzionalità di Windows stesso: il Service Pack 1 di Windows Server 2003 ha introdotto una funzionalità di “hot patching” per alcuni servizi core del sistema. Microsoft ha rilasciato dieci differenti aggiornamenti che hanno usato questa funzionalità.
Quando gli aggiornamenti vengono installati in un certo modo (non si tratta della modalità standard), è possibile applicare le novità direttamente nel sistema senza che sia necessario un riavvio. Per supportare questo, alcune versioni di Windows includono la capacità di caricare un DLL modificato da usare per modificare i programmi attivi. Sia i programmi ordinari, sia il kernel possono essere aggiornati in questo modo.
Nel corso dell’edizione 2006 della Black Hat Conference, il ricercatore di sicurezza Alex Sotirov ha tenuto una presentazione con la quale ha descritto come il sistema di hot patching ha potuto funzionare anche con piccoli aggiornamenti di terze parti in attesa delle soluzioni ufficiali di Microsoft. Una descrizione più approfondita è stata offerta da Alex Ionescu al SyScan 2013, che ha sottolineato come il sistema potrebbe essere utilizzato da un attaccante per modificare un sistema in funzione senza dover scrivere il malware sul disco o compromettere DLL, entrambe misure che possono essere rilevate da comune software anti-malware o anche dall’utente più accorto.
Il gruppo Platinum ha usato questa tecnica in attacchi reali per meglio nascondere le proprie attività. La tecnica funziona contro Windows Server 2003 Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista e Windows 7, tutti sistemi operativi che sono stati trovati in una serie di attacchi avvenuti in Malesia nel corso de mesi passati.
La funzionalità di hot patching è stata rimossa da Windows 8 e le successive versioni del sistema operativo non la supportano più. Del resto si tratta di una tecnica utilizzata di rado, e e risparmiare qualche riavvio non è certamente così utile, specie a fronte di rischi di sicurezza ben più gravi che possono derivare dallo sfruttamento improprio della tecnica. (fonte)
