News

Attacchi ai governi, ecco come funziona quello individuato da CPR

Check Point Research avverte di una nuova arma di cyber-spionaggio utilizzata da un gruppo di hacker cinese, dopo aver identificato e bloccato un’operazione di sorveglianza in corso rivolta a un governo del sud-est asiatico

Pubblicato il 18 Giu 2021

attacco ai governi

Secondo quanto rilevato da Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software Technologies una nuova arma di cyber-spionaggio è stata utilizzata da un gruppo di hacker cinese. Quest’ultimo ha a sistematicamente inviato documenti pericolosi a più membri del Ministero degli Affari Esteri del governo bersaglio, impersonando altre entità all’interno dello stesso governo.

In tre anni, gli aggressori hanno sviluppato una backdoor precedentemente sconosciuta nel software Windows in esecuzione sui personal computer delle sue vittime, consentendo uno spionaggio live. Dopo che la backdoor è stata installata, gli aggressori possono raccogliere quasi tutte le informazioni che vogliono, così come prendere screenshot ed eseguire ulteriore malware sul computer personale della vittima.

Come funziona l’attacco cyber nello specifico

La catena di infezione può essere riassunta nei seguenti passi.

La vittima riceve una e-mail con un documento allegato, presumibilmente inviato da qualche altro ministero o commissione del governo.

Aprendo il documento, la vittima esegue una catena di eventi che alla fine fa attivare la backdoor.

La backdoor raccoglie tutte le informazioni che gli hacker vogliono, compresa la lista dei file e dei programmi attivi sul PC, permettendo l’accesso remoto.

Gli hacker hanno sviluppato una nuova backdoor, un tipo di malware che nega le normali procedure di autenticazione per accedere a un sistema. Con il nome interno “VictoryDll_x86.dll”, il modulo backdoor contiene malware personalizzato, tra le altre, con le seguenti capacità: cancellare/creare/rinominare/leggere/scrivere file e ottenere gli accessi dei file; ottenere informazioni su processi e servizi; ottenere screenshot; eseguire comandi attraverso cmd.exe; creare/terminare un processo; ottenere tabelle TCP/UDP; ottenere informazioni sulle chiavi di registro; ottenere i titoli di tutte le finestre di primo livello; raccogliere informazioni sul computer personale della vittima, nome del computer, nome utente, indirizzo del gateway, dati dell’adattatore, versione di Windows (versione maggiore/minore e numero di build) e tipo di utente; spegnere il PC.

CPR attribuisce, con fiducia medio-alta, l’operazione di sorveglianza in corso a un gruppo di minaccia cinese, sulla base dei seguenti fatti.

I server di comando e controllo (C&C) erano attivi solo tra le 01:00 – 08:00 UTC, quindi la gamma di possibili origini di questo attacco è limitata.

I server C&C non hanno restituito alcun payload (anche durante l’orario di lavoro), in particolare durante il periodo tra il 1 maggio e il 5 maggio – Labor Day Holiday in Cina.

Alcune versioni di prova della backdoor contenevano il controllo della connettività internet con www.baidu.com – un importante sito web cinese.

Il kit exploit RoyalRoad RTF, utilizzato per armare i documenti nell’attacco, è associato principalmente a gruppi APT cinesi.

Alcune versioni di prova della backdoor del 2018 sono state caricate su VirusTotal dalla Cina.

L’operazione di sorveglianza ha compiuto sforzi significativi per evitare il rilevamento, infatti, per prima cosa, il server C&C ha operato in una finestra giornaliera limitata, che è correlata all’orario di lavoro in Cina, e l’infrastruttura è stata cambiata più volte durante la campagna.

Inoltre, il malware backdoor era in sviluppo dal 2017, ma con il tempo, il malware è stato spezzato in più fasi, al fine di ostacolare l’analisi e il rilevamento.

Lotem Finkelsteen, Head of Threat Intelligence di Check Point Software ha così commentato: “Le prove indicano che abbiamo a che fare con un’operazione perfettamente organizzata che ha fatto uno sforzo significativo per non farsi scoprire. Gli aggressori hanno usato e-mail di spear-phishing, con documenti pericolosi a tema governativo, per cercare di sfruttare il Ministero degli Affari Esteri del paese bersaglio. Ciò significa che gli aggressori hanno dovuto prima attaccare un altro dipartimento all’interno dello stato preso di mira, rubando e armando i documenti da utilizzare. Tutto sommato, gli aggressori, che crediamo essere un gruppo di minaccia cinese, sono stati estremamente sistematici nel loro approccio. In definitiva, la nostra indagine ha portato alla scoperta di una nuova backdoor di Windows, in altre parole una nuova arma di cyber-spionaggio, che il gruppo di minaccia cinese ha sviluppato dal 2017. La backdoor è stata formata più e più volte nel corso di tre anni, prima di essere utilizzata. È molto più intrusiva e capace di raccogliere una grande quantità di dati da un computer infetto. Abbiamo imparato che gli aggressori non sono solo interessati ai cold data, ma anche al computer personale dell’obiettivo, con conseguente spionaggio dal vivo. Anche se siamo stati in grado di bloccare l’operazione di sorveglianza per il governo del sud-est asiatico descritto, è possibile che il gruppo hacker stia usando la sua nuova arma su altri obiettivi in tutto il mondo.”

Valuta la qualità di questo articolo

La tua opinione è importante per noi!


Argomenti


Canali

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4