Storie di cyber-gang: SCATTERED SPIDER e la loro ragnatela

Alessio Stefan : 13 Maggio 2024 14:34

Le ransom gang russe si stanno affermando sempre di più con una persistenza inaudita e preoccupante, il loro codice di “onore” impone il non danneggiare stati ex-URSS (chiaramente l’Ucraina fa eccezione dal 2014) il tutto accompagnato da un odio verso l’occidente condiviso dai membri dei diversi gruppi esorcizzato tramite i mezzi informatici.

Questa ideologia radicale però ha dovuto affacciarsi con i tempi moderni richiedendo cambiamenti inaspettati portando i cybercriminali russi ad unire le forze con giovani hacker occidentali elevando il “cybersecurity game” e i conseguenti premi in denaro, tanto ambiti sia dagli occidentali che orientali. In questa sede parleremo di SCATTERED SPIDER, un gruppo di giovani offensive specialists che sono riusciti (nonostante le loro origini geografiche) ad ottenere il rispetto della Grande Orsa e come questa collaborazione sia una nuova frontiera per crimine informatico.

L’hacking di Las Vegas

13 Settembre 2023, Las Vegas: MGM Resorts è uno degli hotel e casinò più popolari (oltre che costosi) della città dei vizi, durante una normale giornata di attività tutti i dispositivi informatici cessarono di funzionare. Con “tutti” i dispositivi non si intendono solo computer e server ma slot machine, cancelli dei garage, smart card delle camere, telefoni e qualsiasi altra cosa che abbia una CPU e una connessione ad internet. In pochi minuti l’intero resort era in blackout con innumerevoli disagi, in particolare da parte dei giocatori d’azzardo preoccupati per le loro vincite.

MGM fu paralizzata senza nessuna spiegazione finche BLACKCAT/ALPHAV pubblicò uno statement rivendicando l’attacco e chiedendo 30 milioni di dollari di riscatto per il ripristino delle attività. Dopo una serie di negoziazioni (Lo staff impegnato nella comunicazione coi cybercriminal defini il loro modo di parlare come se fossero in un episodio di “Affari di Famiglia”) MGM riusci ad abbassare la quota a 15 milioni di dollari e il tutto tornò ad essere attivo come prima.

I processi di incident response iniziarono tempestivamente cercando di comprendere il workflow dell’attacco ma pur trattandosi di un ransomware conosciuto non ci fu traccia delle classiche TTP usate ma bensì un qualcosa di innovativo per gli attacchi di origine Russa.

Tramite una chiamata all’helpdesk di MGM (o meglio ad un specifico dipendente dell’helpdesk) gli attaccanti sono riusciti a far installare un software di monitor IT (non venne mai reso noto il software usato ma nella nota della CISA Level.io e Fleetdeck.io sono quelli piu usati dal gruppo). Quest’ultimo permise di infiltrarsi nella rete ed eseguire il ransomware sull’intera infrastruttura tramite la successiva compromissione del pannelo Okta.

Il danno economico del resort ammonta a 100 milioni di dollari oltre ad una immagine pubblica dannegiata a causa di una class action per la inadeguatezza nella sicurezza dei dati della loro clientela.

SCATTERED SPIDER Discovery & Threat Profile

L’origine della killchain, la chiamata all’helpdesk, è stata eseguita con un inglese molto fluente, ottima preparazione sul pretext e grandi doti di impersonificazione per convincere la vittima all’installazione del software da loro richiesto. Il social engineering non si fermò ad una “semplice” chiamata, per tutta la durata della loro permanenza tecniche di SMS phishing e SIM swapping per bypassare multi-factor authentication furono usate dal ragno per tessere la sua tela (questo ultimo metodo è stato confermato come causa del loro accesso sulla piattaforma Okta di MGM).

La lingua inglese è sempre stata un problema per i gruppi russofoni portando l’utilizzo di traduttori (e ultimamente LLM come ChatGPT) con un risultato non efficace abbastanza per target specifici (spear-phishing) rallentando la prima fase di attacco. La barriera linguistica non rende meno pericoloso l’assalto ne tantomeno lo evita ma complica in maniera rilevante la sua pianificazione e l’ottenimento di risultati. Per rendere l’idea quello che è bastato a dei teenager con le giuste conoscenze furono una ricerca su LinkedIn e una chiamata di 10 minuti all’helpdsek. Nulla di più, nulla di meno; solo il necessario eseguito in maniera magistrale.

Dalle analisi di chiamate, email e SMS si è evinta la buona padronanza della lingua inglese a livello di madrelingua dagli USA o UK e questo ha portato gli investigatori ad ampliare le loro ricerche sui responsabili del breach.

Le indagini identificarono come responsabili del breach SCATTERED SPIDER gruppo di hacker maligni con origini nel 2022 dove erano conosciuti per SIM Swapping, MFA Fatigue Attacks, e l’utilizzo massiccio di una vulnerability nel sistem anti-DoS di Windows per evadere diversi metodi di detection (CVE-2015-2291). I membri del gruppo Scattered Spider sfruttavano le loro competenze in Microsoft Azure, AWS e altre piattaforme di cloud computing per raccogliere informazioni utili nel social engineering. Questa tattica si è rivelata particolarmente efficace, soprattutto quando utilizzata su utenti specifici.

Il threat profile del gruppo è molto differente dalla media non solo per l’origine dei loro membri (UK, USA e Canada principalmente) ma anche per la loro età. Dopo l’arresto di un 19enne della Florida (9 Gennaio 2024) per truffa tramite SIM Swapping, si individuò la sua connessione col gruppo di baby-criminiali per l’utilizzo dei tools SCATTERSWINE / OKTAPUS usati comunemente dall’APT. Infine tramite le lunghe indagini degli inquirenti si riuscì a stabilire l’età dei componenti del gruppo in un range di 17-20 anni, questa caratteristica (assieme alla collaborazione con un RaaS Russo) rende questo Threat Actor differente dai suoi predecessori.

Ora il 19enne statunitense è a rischio di 20 anni di prigione federale. Più approfonditamente si pensa che l’origine di SCATTERED SPIDER provenga da The Com, una sub-cultura composta da giovani occidentali che hanno già precedentemente attaccato NVIDIA, Electronics Arts e Microsoft. Questa evoluzione sta preoccupando aziende, cybersecurity specialists e reparti ICT pubblici.

Il ragno ha deposto le uova

Dopo il bottino ottenuto da MGM SCATTERED SPIDER ottenne una grande reputazione tra i ransom-groups russi dalla quale un potenziale di nuove collaborazioni con gli occidentali può non solo aumentare ma diventare la norma. Le abilità tecniche ed investigative non sono l’unica peculiarità del ragno ma bensì il loro appartenere all’occidente permette di capire meglio come si vive, comunica e le abitudini dei questa parte del pianeta cosa in cui la controparte non sempre riesce a mescolarsi senza dare nell’occhio.

Questa fusione unisce alla perfezione i soffisticati malware degli APT più esperti con le abilità e conoscenze sul campo (Nord America ed Europei) delle nuove leve portando a visioni su future metamorfosi. I ransomware operators stanno diventando più aggressivi e con assenza di “Code of Conduct” (non sparare sulla croce rossa) su chi colpire mettendo nel mirino ospedali e infrastrutture critiche oltre che multinazionali. Oggi più che mai il rischio si estende a chiunque e le minaccie vivono nascosti a casa nostra, esattamente come i ragni.

Ad oggi SCATTERED SPIDER sta ampliando le sue capacità espandendo i loro strumenti di exfiltration e anti-detection aumentando il volume dei dati che possono essere rubati oltre a nuove modalità di phishing e questo fa pensare che le collaborazioni con i RaaS non siano finite. Tra le aziende attaccate dal gruppo abbiamo GitHub, Samsung, Wallmart ed Apple alzando le loro ambizioni e payout finale, SCATTERED SPIDER sta aggiungendo al suo curriculum esperienze di un certo spessore e si sta facendo notare dai più anziani.

Conclusioni

Nonostante la crescita dell’industria della security ed la sua fame di giovani talenti non è stato abbastanza per fermare questi teenager ad entrare nel mondo della criminalità a contatto con esperti del mercato nero da anni. Ora la minaccia non è solo un nemico guidato da ideologia (oltre che per le loro finanze) ma anche internamente la fame di soldi sporchi fatti in maniera “facile” si divincola tra i nostri potenziali talenti in particolare quelli giovani.

La cybersecurity rischia di essere minata sia dall’emergenza dei white hat che transizionano al mondo del cybercrime ed ora il pericolo di includere le nuove leve porterà a conseguenze difficili da prevedere ma sicuramente avverse e svantagiose.

Negli anni ’90, quando la cultura hacker inizio ad espandersi, i giovani universitari e liceali utilizzavano le loro abilità a supporto dell’hacktivismo o alla crescita tecnologica. Ora il luccichio di alte cifre ottenute in maniera criminale sta rendendo ciechi dei potenziali professionisti.

L’hacking non è sinonimo di criminalità e che sia questa mancanza di comprensione dei valori di tale cultura ad essere la causa principale di questo switch? La risposta non è facile da ottenere e necessità di diverse analisi su fronti diversi. Ciò che è certo è che l’industria deve rendersi conto della crisi che sta vivendo nonostante la sua crescità economica e deve riuscire a rispondere a questa mancanza di vocazione.

Alessio Stefan
Membro del gruppo di Red Hot Cyber Dark Lab. Studente magistrale di AI & Cybersecurity e CTF player con la passione per l’ethical hacking che lo accompagna sin da giovane età. Trascorre le sue giornate immerso nello studio e scoperta di nuovi metodi di attacco con la giusta dose di pratica. Convinto che l’hacking sia una cultura ne applica i principi non solo nel mondo digitale ma anche alla vita quotidiana nell’attesa di trasformare la sua dedizione in carriera.