Aggiornamenti recenti Aprile 18th, 2024 2:00 PM
Ago 31, 2016 Marco Schiaffino Attacchi, Intrusione, Malware, News 0
La vicenda si iscrive nel più classico degli schemi dello spionaggio di stato: un’area geografica contesa, nazioni con aspirazioni contrapposte e un processo di “dialogo” che nasconde frizioni e conflitti mai sopiti.
L’area è quella del mar cinese meridionale, in cui varie nazioni (tra cui la Cina) si stanno confrontando da anni contrapponendo le loro aspirazioni per affermare la sovranità nazionale su isole e aree geografiche ricche di risorse naturali.
Il copione vuole che, accanto alla diplomazia, a muoversi siano anche gli 007 dei diversi paesi coinvolti, e lo facciano utilizzando tutti gli strumenti che hanno a disposizione. Uno di questi è NanHaiShu: un software spia che gli analisti di F-Secure hanno individuato e studiato in maniera approfondita.
Stando al report pubblicato dai ricercatori dell’azienda finlandese, il malware sarebbe in circolazione da quasi due anni. Il primo esemplare, infatti, è stato individuato il 13 gennaio 2015. Per quanto riguarda l’origine del malware, gli analisti hanno pochi dubbi: tutti gli indizi conducono alla Cina.
NanHaiShu è un classico RAT (Remote Access Tool) che è stato distribuito in maniera estremamente mirata attraverso campagne di spear phishing. I casi analizzati da F-Secure denunciano un’attenta pianificazione nella distribuzione del malware e un’accuratezza quasi maniacale nella scelta dei bersagli e delle tecniche di infezione.
Per colpire i bersagli individuati, i pirati hanno usato email con oggetti e contenuti adatti al contesto di ogni singola vittima, sfruttando anche la cronaca per suscitare il loro interesse e indurli ad aprire gli allegati ai messaggi.
Il malware viene installato attraverso l’uso delle Macro in documenti Office (XLS e DOC) e non utilizza alcun sistema per aggirare il blocco delle Macro nel pacchetto Microsoft. Questo significa che l’utente deve intervenire attivamente per autorizzarne l’esecuzione.
Nonostante questo sistema di installazione non particolarmente sofisticato, NanHaiShu adotta delle tecniche di offuscamento decisamente evolute. Il collegamento per il download del malware contenuto nel Javascript all’interno dei file, per esempio, è protetto da due livelli di codifica: una in base 64 e una crittografica.
Il trojan è modulare, e consente ai suoi autori di scaricare qualsiasi altro tipo di programma vogliano installare sulla macchina compromessa per aggiungere nuove funzioni.
Gli indizi che conducono ai servizi segreti cinesi sono numerosi, già a partire da un profilo squisitamente tecnico. L’utilizzo di un decoder VBA per codice in base 64, per esempio, viene indicato dagli analisti come un chiaro “marchio di fabbrica” degli hacker cinesi, che adottano questa tecnica molto spesso.
Anche i collegamenti con i server Command and Control (C&C) utilizzati per gestire il malware puntano nella stessa direzione. Se in una prima fase in cui gli indirizzi IP facevano riferimento a dei servizi di hosting con sede negli USA, in seguito i collegamenti hanno infatti cominciato a far riferimento a infrastrutture situate nella Repubblica Popolare.
Il passaggio, come fanno notare i ricercatori nel report, è avvenuto in concomitanza con la notizia riguardante lo spostamento della flotta statunitense in direzione del mar cinese meridionale, proprio in un momento in cui la vicenda stava assumendo ancora maggiore importanza.
Tutte le vittime, inoltre, sono legate a nazioni coinvolte (a vario titolo) nelle dispute geopolitiche riguardanti l’area, a partire dalle Filippine, che a partire dal dicembre 2014 (1 mese prima della comparsa di NanHaiShu) sono state coinvolte con la Cina in una causa arbitrale a livello internazionale.
Feb 07, 2024 0
Dic 22, 2023 0
Nov 28, 2023 0
Set 21, 2023 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...