Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Double Dragon: il gruppo APT41 ha colpito anche l’Italia
I pirati informatici cinesi usano strumenti sofisticati disponibili solo per gli “hacker di stato”, ma non disdegnano operazioni autonome per guadagnare denaro.
I ricercatori di FireEye lo hanno battezzato con il nome di Double Dragon o APT41 ed è un gruppo che, secondo gli analisti, rappresenterebbe uno dei tanti soggetti che agiscono per conto del governo cinese nel settore del cyber-spionaggio.
Come spiegano nel loro report i ricercatori, però, APT41 ha caratteristiche piuttosto particolari e rappresenta un’anomalia rispetto ai gruppi di questo genere individuati in passato.
I gruppi APT (Advanced Persistent Threat) collegati al governo di Pechino, infatti, agiscono di solito seguendo rigorosamente gli ordini dei governi per cui lavorano e puntano esclusivamente allo spionaggio industriale.
Nel caso di APT41, che secondo quanto si legge nel report di FireEye sarebbe attivo almeno dal 2012, alle “normali” attività di spionaggio si alternano operazioni che hanno come obiettivo semplicemente il furto di denaro. Insomma: saremmo di fronte a un “contractor” che in alcuni casi agisce in piena autonomia per finanziarsi.
Tanto più che, guardando alle attività del gruppo, sembrerebbe che i pirati informatici che lo compongono si siano fatti le ossa attraverso azioni di comune cyber-crimine ai danni di società nel settore dei videogiochi per passare solo in seguito alle operazioni di spionaggio.
Non solo: da quando lo spionaggio è diventata la loro attività principale, sembra che i pirati conducano le altre operazioni in quello che possiamo definire il loro “tempo libero”.
L’analisi condotta dai ricercatori di FireEye, infatti, dimostra come le due tipologie di attacco vengano condotte in momenti diversi della giornata.
Se gli attacchi portati al settore dei videogiochi sembrano essere ispirati alla semplice logica dell’opportunismo (con l’utilizzo occasionale di ransomware) le azioni di spionaggio ricostruite dagli analisti corrispondono alla perfezione con le strategie seguite normalmente dai gruppi APT al soldo di Pechino.
Da quando la Cina ha avviato il suo programma economico Made in China 2025, che punta sulla crescita di settori come la farmaceutica e l’Hi-Tech, tutte le operazioni di spionaggio attribuite a gruppi cinesi hanno riguardato, in maniera diretta o indiretta, questi ambiti produttivi.
Non solo: nel caso dell’Italia, per esempio, gli esperti hanno registrato un aumento delle attività di spionaggio in seguito alla firma dell’accordo economico collegato alla cosiddetta nuova via della seta. Un effetto collaterale che si spiegherebbe con l’intenzione del governo di Pechino di acquisire intelligence per poter contrattare al meglio gli accordi con il nostro paese.
Sotto questo profilo, APT41 ricalca il copione alla perfezione. Il gruppo avrebbe colpito in Francia, India, Italia, Giappone, Myanmar, Paesi Bassi, Singapore, Corea del Sud, Sudafrica, Svizzera, Thailandia, Turchia, Regno Unito, Stati Uniti e Hong Kong.
Obiettivi: case farmaceutiche, settore ospedaliero, società del comparto tecnologico ed energetico, delle telecomunicazioni e in alcuni casi anche agenzie di stampa.
Tra le strategie adottate dai pirati, anche quella degli attacchi “supply chain”, in cui i cyber-spioni hanno colpito produttori di software per inserire nei loro prodotti i malware che gli hanno permesso poi di compromettere i reali bersagli.
Una tecnica che APT41 ha adottato con estrema cautela, prevedendo un sistema che gli consentisse di attivare i payload soltanto sui sistemi che volevano colpire, evitando così il rischio di esporsi troppo ed essere individuati.
Per farlo, gli hacker di Pechino hanno utilizzato il numero di serie dei dischi fissi o il MAC address per individuare con la massima precisione le macchine su cui si sarebbe dovuto attivare il loro malware.
Tra gli attacchi supply chain attribuiti ad APT41 c’è anche quello ai danni degli utenti di Ccleaner avvenuto nel 2017, di cui abbiamo parlato ampiamente in questi articoli (1–2–3) e che ha potenzialmente messo a rischio più di 1,6 milioni di computer.
Tutte le operazioni del gruppo, in ogni caso, dimostrano straordinarie capacità tecniche e una dotazione di strumenti di spionaggio che normali cyber-criminali possono solo sognarsi, a partire per esempio dalla disponibilità di certificati digitali che gli consentono di aggirare i normali sistemi di controllo.
Alla luce dello studio di FireEye, APT41 sarebbe uno dei pochi gruppi di pirati informatici che ha la possibilità di utilizzare strumenti avanzati come quelli usati normalmente per lo spionaggio anche in “normali” cyber-attacchi. Tradotto per il settore della sicurezza informatica: un incubo.
Condividi l'articolo
Il 5G è agli esordi ma ci sono già problemi di sicurezza
QualPwn: come ti infetto lo smartphone Android dal Wi-Fi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
