NanHaiShu: cyber-spionaggio in salsa cinese

Ago 31, 2016 Marco Schiaffino Attacchi, Intrusione, Malware, News 0

Una rete di spionaggio informatico ha preso di mira enti governativi e aziende private nell’area del mar cinese meridionale usando APT (Advanced Persistent Threaten) di alto livello.

La vicenda si iscrive nel più classico degli schemi dello spionaggio di stato: un’area geografica contesa, nazioni con aspirazioni contrapposte e un processo di “dialogo” che nasconde frizioni e conflitti mai sopiti.

L’area è quella del mar cinese meridionale, in cui varie nazioni (tra cui la Cina) si stanno confrontando da anni contrapponendo le loro aspirazioni per affermare la sovranità nazionale su isole e aree geografiche ricche di risorse naturali.

Il copione vuole che, accanto alla diplomazia, a muoversi siano anche gli 007 dei diversi paesi coinvolti, e lo facciano utilizzando tutti gli strumenti che hanno a disposizione. Uno di questi è NanHaiShu: un software spia che gli analisti di F-Secure hanno individuato e studiato in maniera approfondita.

Stando al report pubblicato dai ricercatori dell’azienda finlandese, il malware sarebbe in circolazione da quasi due anni. Il primo esemplare, infatti, è stato individuato il 13 gennaio 2015. Per quanto riguarda l’origine del malware, gli analisti hanno pochi dubbi: tutti gli indizi conducono alla Cina.

NanHaiShu è un classico RAT (Remote Access Tool) che è stato distribuito in maniera estremamente mirata attraverso campagne di spear phishing. I casi analizzati da F-Secure denunciano un’attenta pianificazione nella distribuzione del malware e un’accuratezza quasi maniacale nella scelta dei bersagli e delle tecniche di infezione.

Per colpire i bersagli individuati, i pirati hanno usato email con oggetti e contenuti adatti al contesto di ogni singola vittima, sfruttando anche la cronaca per suscitare il loro interesse e indurli ad aprire gli allegati ai messaggi.

Il malware viene installato attraverso l’uso delle Macro in documenti Office (XLS e DOC) e non utilizza alcun sistema per aggirare il blocco delle Macro nel pacchetto Microsoft. Questo significa che l’utente deve intervenire attivamente per autorizzarne l’esecuzione.

L’infezione tramite Macro richiede l’autorizzazione dell’utente, ma evidentemente è ancora un sistema efficace.

Nonostante questo sistema di installazione non particolarmente sofisticato, NanHaiShu adotta delle tecniche di offuscamento decisamente evolute. Il collegamento per il download del malware contenuto nel Javascript all’interno dei file, per esempio, è protetto da due livelli di codifica: una in base 64 e una crittografica.

Il trojan è modulare, e consente ai suoi autori di scaricare qualsiasi altro tipo di programma vogliano installare sulla macchina compromessa per aggiungere nuove funzioni.

Gli indizi che conducono ai servizi segreti cinesi sono numerosi, già a partire da un profilo squisitamente tecnico. L’utilizzo di un decoder VBA per codice in base 64, per esempio, viene indicato dagli analisti come un chiaro “marchio di fabbrica” degli hacker cinesi, che adottano questa tecnica molto spesso.

Anche i collegamenti con i server Command and Control (C&C) utilizzati per gestire il malware puntano nella stessa direzione. Se in una prima fase in cui gli indirizzi IP facevano riferimento a dei servizi di hosting con sede negli USA, in seguito i collegamenti hanno infatti cominciato a far riferimento a infrastrutture situate nella Repubblica Popolare.

Il passaggio, come fanno notare i ricercatori nel report, è avvenuto in concomitanza con la notizia riguardante lo spostamento della flotta statunitense in direzione del mar cinese meridionale, proprio in un momento in cui la vicenda stava assumendo ancora maggiore importanza.

Tutte le vittime, inoltre, sono legate a nazioni coinvolte (a vario titolo) nelle dispute geopolitiche riguardanti l’area, a partire dalle Filippine, che a partire dal dicembre 2014 (1 mese prima della comparsa di NanHaiShu) sono state coinvolte con la Cina in una causa arbitrale a livello internazionale.

Condividi l'articolo