Molteplici APT cinesi stabiliscono importanti teste di ponte all’interno di infrastrutture sensibili
Dan Goodin - 1 agosto 2023 12:29 UTC
Le squadre di hacker che lavorano per il governo cinese sono intenzionate a scavare negli angoli più remoti delle infrastrutture sensibili, in gran parte appartenenti agli Stati Uniti, e a stabilirvi presenze permanenti, se possibile. Negli ultimi due anni hanno ottenuto alcune vittorie che potrebbero seriamente minacciare la sicurezza nazionale.
Se ciò non fosse già chiaro prima, tre rapporti pubblicati la scorsa settimana lo dimostrano abbondantemente. In uno pubblicato dalla società di sicurezza Kaspersky, i ricercatori hanno dettagliato una suite di strumenti di spionaggio avanzati utilizzati negli ultimi due anni da un gruppo per stabilire un “canale permanente per l’esfiltrazione dei dati” all’interno dell’infrastruttura industriale. Un secondo rapporto pubblicato domenica dal New York Times afferma che un altro gruppo che lavora per il governo cinese aveva nascosto un malware che avrebbe potuto causare interruzioni nelle infrastrutture critiche utilizzate dalle basi militari statunitensi in tutto il mondo. Tali segnalazioni sono arrivate nove giorni dopo che Microsoft ha rivelato una violazione degli account di posta elettronica appartenenti a 25 dei suoi clienti cloud, inclusi i Dipartimenti di Stato e del Commercio.
Le operazioni sembrano provenire da dipartimenti separati all’interno del governo cinese e mirano a parti diverse delle infrastrutture statunitensi ed europee. Il primo gruppo, rintracciato sotto il nome di Zirconium, vuole rubare dati dagli obiettivi che infetta. Un altro gruppo, noto come Volt Typhoon, secondo il NYT, mira ad acquisire la capacità a lungo termine di causare disordini all'interno delle basi statunitensi, possibilmente da utilizzare in caso di conflitto armato. In entrambi i casi, i gruppi stanno cercando di creare teste di ponte permanenti dove poter aprire di nascosto attività.
Un rapporto pubblicato da Kaspersky due settimane fa (parte 1) e lunedì (parte 2) descriveva in dettaglio 15 impianti che conferiscono allo Zirconio un'intera gamma di funzionalità avanzate. Le capacità degli impianti vanno dalla prima fase, accesso remoto persistente alle macchine hackerate, a una seconda fase che raccoglie dati da tali macchine e da tutti i dispositivi air-gap a cui si connettono, a una terza fase utilizzata per caricare i dati rubati su dispositivi controllati da Zirconium. server di comando.
Zirconium è un gruppo di hacker che lavora per la Repubblica popolare cinese. L’unità ha tradizionalmente preso di mira un’ampia gamma di entità industriali e dell’informazione, comprese quelle di organizzazioni governative, finanziarie, aerospaziali e di difesa e aziende nei settori della tecnologia, dell’edilizia, dell’ingegneria, delle telecomunicazioni, dei media e delle assicurazioni. Lo zirconio, identificato anche con i nomi APt31 e Judgment Panda, è un esempio di APT (advanced persistent threat), un'unità che hackera per, per conto di o come parte di uno stato-nazione.
Il rapporto di Kaspersky mostra che più o meno nello stesso periodo dell’attacco al router su larga scala, Zirconium era impegnato in un’altra importante impresa, che prevedeva l’utilizzo di 15 impianti per scovare informazioni sensibili fortificate nelle profondità delle reti prese di mira. Il malware in genere viene installato in cosiddetti dirottamenti DLL. Questi tipi di attacchi trovano il modo di iniettare codice dannoso nei file DLL che fanno funzionare vari processi Windows. Il malware ha coperto le sue tracce utilizzando l'algoritmo RC4 per crittografare i dati fino a poco prima di essere iniettato.
Un componente worm del malware, ha affermato Kaspersky, può infettare unità rimovibili che, una volta collegate a un dispositivo con air gap, individuano i dati sensibili archiviati lì e li copiano. Quando viene ricollegato a un computer connesso a Internet, il dispositivo disco infetto lo scrive lì.
"Durante l'indagine, i ricercatori di Kaspersky hanno osservato gli sforzi deliberati degli autori delle minacce per eludere il rilevamento e l'analisi", ha scritto Kaspersky. "Hanno raggiunto questo obiettivo nascondendo il carico utile in forma crittografata all'interno di file di dati binari separati e incorporando codice dannoso nella memoria di applicazioni legittime attraverso il dirottamento di DLL e una catena di iniezioni di memoria."