Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Ago 07, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Intrusione, Malware, Minacce, News, RSS, Scenario 0
I ricercatori di FireEye lo hanno battezzato con il nome di Double Dragon o APT41 ed è un gruppo che, secondo gli analisti, rappresenterebbe uno dei tanti soggetti che agiscono per conto del governo cinese nel settore del cyber-spionaggio.
Come spiegano nel loro report i ricercatori, però, APT41 ha caratteristiche piuttosto particolari e rappresenta un’anomalia rispetto ai gruppi di questo genere individuati in passato.
I gruppi APT (Advanced Persistent Threat) collegati al governo di Pechino, infatti, agiscono di solito seguendo rigorosamente gli ordini dei governi per cui lavorano e puntano esclusivamente allo spionaggio industriale.
Nel caso di APT41, che secondo quanto si legge nel report di FireEye sarebbe attivo almeno dal 2012, alle “normali” attività di spionaggio si alternano operazioni che hanno come obiettivo semplicemente il furto di denaro. Insomma: saremmo di fronte a un “contractor” che in alcuni casi agisce in piena autonomia per finanziarsi.
Tanto più che, guardando alle attività del gruppo, sembrerebbe che i pirati informatici che lo compongono si siano fatti le ossa attraverso azioni di comune cyber-crimine ai danni di società nel settore dei videogiochi per passare solo in seguito alle operazioni di spionaggio.
Non solo: da quando lo spionaggio è diventata la loro attività principale, sembra che i pirati conducano le altre operazioni in quello che possiamo definire il loro “tempo libero”.
L’analisi condotta dai ricercatori di FireEye, infatti, dimostra come le due tipologie di attacco vengano condotte in momenti diversi della giornata.
Se gli attacchi portati al settore dei videogiochi sembrano essere ispirati alla semplice logica dell’opportunismo (con l’utilizzo occasionale di ransomware) le azioni di spionaggio ricostruite dagli analisti corrispondono alla perfezione con le strategie seguite normalmente dai gruppi APT al soldo di Pechino.
Da quando la Cina ha avviato il suo programma economico Made in China 2025, che punta sulla crescita di settori come la farmaceutica e l’Hi-Tech, tutte le operazioni di spionaggio attribuite a gruppi cinesi hanno riguardato, in maniera diretta o indiretta, questi ambiti produttivi.
Non solo: nel caso dell’Italia, per esempio, gli esperti hanno registrato un aumento delle attività di spionaggio in seguito alla firma dell’accordo economico collegato alla cosiddetta nuova via della seta. Un effetto collaterale che si spiegherebbe con l’intenzione del governo di Pechino di acquisire intelligence per poter contrattare al meglio gli accordi con il nostro paese.
Sotto questo profilo, APT41 ricalca il copione alla perfezione. Il gruppo avrebbe colpito in Francia, India, Italia, Giappone, Myanmar, Paesi Bassi, Singapore, Corea del Sud, Sudafrica, Svizzera, Thailandia, Turchia, Regno Unito, Stati Uniti e Hong Kong.
Obiettivi: case farmaceutiche, settore ospedaliero, società del comparto tecnologico ed energetico, delle telecomunicazioni e in alcuni casi anche agenzie di stampa.
Tra le strategie adottate dai pirati, anche quella degli attacchi “supply chain”, in cui i cyber-spioni hanno colpito produttori di software per inserire nei loro prodotti i malware che gli hanno permesso poi di compromettere i reali bersagli.
Una tecnica che APT41 ha adottato con estrema cautela, prevedendo un sistema che gli consentisse di attivare i payload soltanto sui sistemi che volevano colpire, evitando così il rischio di esporsi troppo ed essere individuati.
Per farlo, gli hacker di Pechino hanno utilizzato il numero di serie dei dischi fissi o il MAC address per individuare con la massima precisione le macchine su cui si sarebbe dovuto attivare il loro malware.
Tra gli attacchi supply chain attribuiti ad APT41 c’è anche quello ai danni degli utenti di Ccleaner avvenuto nel 2017, di cui abbiamo parlato ampiamente in questi articoli (1–2–3) e che ha potenzialmente messo a rischio più di 1,6 milioni di computer.
Tutte le operazioni del gruppo, in ogni caso, dimostrano straordinarie capacità tecniche e una dotazione di strumenti di spionaggio che normali cyber-criminali possono solo sognarsi, a partire per esempio dalla disponibilità di certificati digitali che gli consentono di aggirare i normali sistemi di controllo.
Alla luce dello studio di FireEye, APT41 sarebbe uno dei pochi gruppi di pirati informatici che ha la possibilità di utilizzare strumenti avanzati come quelli usati normalmente per lo spionaggio anche in “normali” cyber-attacchi. Tradotto per il settore della sicurezza informatica: un incubo.
Nov 12, 2024 0
Ott 08, 2024 0
Lug 18, 2024 0
Feb 07, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...