Recentemente, il gruppo APT noto come StormBamboo ha compromesso un provider di servizi internet (ISP) per sfruttare meccanismi di aggiornamento software non sicuri. Questo attacco ha permesso di distribuire malware a utenti di macOS e Windows attraverso aggiornamenti software compromessi.
Il metodo di attacco
StormBamboo ha utilizzato una tecnica di DNS Poisoning per alterare le risposte delle query DNS per domini specifici legati ai meccanismi di aggiornamento automatico software, indirizzando gli utenti verso server malevoli invece dei server legittimi degli aggiornamenti.
“La logica dietro l’abuso degli aggiornamenti automatici è la stessa per tutte le applicazioni: l’applicazione legittima esegue una richiesta HTTP per recuperare un file basato su testo (il formato varia) contenente l’ultima versione dell’applicazione e un collegamento all’installer.“, spiega il rapporto, “Poiché l’attaccante ha il controllo delle risposte DNS per qualsiasi nome DNS, abusa di questa progettazione, reindirizzando la richiesta HTTP a un server C2 da lui controllato che ospita un file di testo contraffatto e un installer dannoso“
Conseguenze dell’attacco
Gli aggiornamenti compromessi hanno installato varianti di malware come MACMA (macOS) e POCOSTICK (Windows) sui sistemi delle vittime. Questi malware sono stati utilizzati per esfiltrare dati sensibili e compromettere ulteriormente i sistemi.
Misure di prevenzione
Per proteggersi da tali attacchi, è fondamentale utilizzare meccanismi di aggiornamento software sicuri che impiegano connessioni HTTPS e firme digitali per autenticare gli aggiornamenti. Inoltre, l’uso di DNS over HTTPS o DNS over TLS può aiutare a garantire che i risultati delle query DNS non siano stati manomessi.
StormBamboo ha dimostrato ancora una volta quanto sia cruciale la sicurezza dei meccanismi di aggiornamento software per prevenire attacchi sofisticati e proteggere i dati degli utenti.