Il gruppo cinese di pirateria informatica rilancia gli attacchi globali | VPNoverview.com

Una società di sicurezza olandese, chiamata Fox-IT, ha pubblicato oggi un rapporto a seguito delle sue indagini sullo spionaggio informatico cinese. Negli ultimi due anni, i sistemi informatici di decine di aziende e istituzioni governative in tutto il mondo sono stati attaccati. Gli olandesi hanno concluso con un alto grado di certezza che dietro gli attacchi c’è un gruppo di hacking cinese.


Scoperta la campagna globale di spionaggio informatico

L’indagine denominata “Operazione Wocao” (我 操, “Wǒ cāo” in cinese, gergo per “merda” o “maledizione”) si è svolta nell’arco di quasi due anni. Ricercatori di sicurezza olandesi affermano che tutti i punti di prova di un oscuro gruppo di hacking cinese chiamato APT20, che probabilmente sta lavorando nell’interesse del governo cinese.

Fox-IT ha scoperto la campagna di hacking del gruppo nell’estate del 2018, mentre svolgeva un’analisi dei sistemi informatici compromessi per uno dei suoi clienti. Sono stati in grado di seguire la pista e hanno scoperto dozzine di attacchi simili che erano stati effettuati dallo stesso gruppo.

In un lungo rapporto, gli olandesi spiegano che “ben poco è pubblicamente noto o pubblicato sull’attore che descriviamo, ma piuttosto che dare a questo attore un nostro alias, abbiamo scelto di contattare i partner del settore. Questo ci ha aiutato ad attribuire alcune delle tecniche e degli strumenti inediti in questo rapporto, con una fiducia media, a un attore di minaccia cinese noto come APT20. Sulla base delle vittime osservate di questo attore, valutiamo anche che questo attore di minaccia sta probabilmente lavorando nell’interesse del governo cinese “.

L’obiettivo non è denaro, ma conoscenza

Gli hacker non rubano denaro o installano ransomware. Sono puramente alla ricerca di informazioni e conoscenze sensibili alle imprese, qualcosa a cui il governo cinese in particolare sarebbe interessato.

Non è possibile determinare con esattezza la quantità di dati che gli aggressori sono riusciti a raccogliere negli ultimi anni. Ciò che è noto, è che tra il 2009 e il 2014, APT20 (noto anche come Violin Panda e th3bug) è stato associato a campagne di hacking rivolte a università, militari, organizzazioni sanitarie e società di telecomunicazioni.

Secondo Fox-IT, il gruppo di hacking cinese è rimasto inattivo per diversi anni. Tuttavia, è recentemente riemerso e ha tranquillamente preso di mira aziende e agenzie governative.

Alcune nuove tecniche utilizzate

Il rapporto fornisce una panoramica delle tecniche che i ricercatori di sicurezza olandesi conoscono APT20. Il punto di accesso iniziale è in genere un server Web vulnerabile o già compromesso. Una volta dentro, gli hacker si muovono attraverso la rete usando metodi ben noti. Alla fine, possono utilizzare le credenziali rubate per accedere alla rete della vittima tramite la VPN aziendale.

In un caso, il gruppo di hacker è stato persino in grado di eludere una forma di autenticazione a due fattori destinata a prevenire tali attacchi. Per fare ciò, gli hacker hanno sviluppato una tecnica per recuperare i 2 codici fattoriali per connettersi al server VPN dell’azienda e autorizzarsi ad accedere. Sono stati scoperti anche altri strumenti personalizzati.

Successivamente, gli hacker hanno utilizzato diversi strumenti backdoor e open source per infiltrarsi ulteriormente nella rete per identificare e raccogliere manualmente le informazioni. Dopo aver scaricato i dati, tutte le tracce sono state cancellate per ostacolare un’indagine forense approfondita e la backdoor è stata chiusa.

Numerose vittime in tutto il mondo

Fox-IT non vuole menzionare i nomi delle vittime. Ma gli olandesi hanno fornito un elenco di settori in cui sono attivi APT20.

Tra le vittime vi sono le compagnie aeree, le società di costruzioni, il settore energetico, le istituzioni finanziarie, le organizzazioni sanitarie, le società di ingegneria offshore, gli sviluppatori di software e le società di trasporto.

Tra i paesi interessati vi sono Brasile, Cina, Francia, Germania, Italia, Messico, Portogallo, Spagna, Stati Uniti e Regno Unito.

Diversi errori fatti dal gruppo cinese di pirateria informatica

Durante il loro lavoro di spionaggio, gli hacker hanno commesso diversi errori, lasciando dietro di sé “impronte digitali”.

Per esempio,

  • Ci sono state alcune impostazioni di lingua trapelate, a indicare che gli hacker stavano eseguendo un browser con un’impostazione di lingua cinese.
  • Durante la registrazione di un server noleggiato, gli hacker hanno fornito un indirizzo statunitense inesistente, ma hanno inavvertitamente scritto il nome dello stato della Louisiana in caratteri cinesi.
  • Ad un certo punto, gli hacker hanno usato un codice che poteva essere trovato solo su un forum cinese.

Dopo un po ‘, anche i ricercatori olandesi della sicurezza hanno iniziato a notare che gli hacker hanno rigorosamente rispettato l’orario di ufficio cinese.

Il nome dell’indagine di Fox-IT “Operazione Wocao”, è stato uno dei comandi eseguiti dagli hacker nel tentativo frustrato di accedere a siti Web cancellati, dopo che Fox-IT ha invertito il furto digitale.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map