APT10 usa strumenti open source per condurre attacchi contro service provider sparsi per il globo. I dettagli in un nuovo report del governo Usa
Una campagna internazionale di cyber-spionaggio condotta da un gruppo sospettato di avere legami con il governo cinese sta interessando un numero crescente di compagnie a livello mondiale.
La conferma all’allarme già lanciato nei mesi scorsi da diverse società private è arrivata dal governo Usa in un nuovo report del Cert nazionale americano.
Secondo lo studio, lo U.S. National Cybersecurity and Communications Integration Center (NCCIC) – che continua a controllare la recente attività di APT10 – ha affermato che il gruppo si stia dedicando a colpire le proprie vittime “in diversi settori” (l’NCCIC è l’agenzia del Dipartimento di Homeland Security dedicata alla protezione delle infrastrutture critiche degli Stati Uniti dagli hacker).
Gli hacker cinesi colpiscono i provider
In particolare, APT10 si sarebbe avvalso di una combinazione di strumenti di hacking e software open source per condurre attacchi contro service provider sparsi per il globo.
Sul tema, lo US-Cert riferisce di recenti e rilevanti condotte da molte aziende del settore privato, tra cui iSight (una controllata di FireEye), PwC-BAE Systems (che l’aveva definita ‘Operation Cloud Hopper’) e Palo Alto Networks.
I ricercatori di cyber security e gli analisti di intelligence seguono APT10 (noto anche come MenuPass) almeno dal 2009.
In passato, il gruppo ha puntato su società di costruzioni, ingegneria, aerospazio e telecomunicazioni, nonché agenzie governative negli Stati Uniti, in Europa e in Giappone.
Le sue azioni, ha commentato la società di sicurezza informatica FireEye, che da anni monitora e studia la cyber gang, suggeriscono che agisca in “sostegno a obiettivi di sicurezza nazionali cinesi, tra i quali l’acquisizione di preziose informazioni militari e di intelligence, nonché il furto di dati aziendali riservati per sostenere le imprese della Repubblica Popolare” (in palese contrasto, dunque, con le recenti intese tra Washington e Pechino volte a non condurre reciprocamente a danno dell’altro Paese nessuna azione di cyber spionaggio a fini commerciali).
Il phishing rimane l’arma elettronica più usata
Tutte le società di sicurezza informatica citate nel report, ricorda Cyber Scoop, testimoniano invece un aumento delle intrusioni cibernetiche collegate ad APT10 durante la scorsa estate, a partire da giugno 2016. Queste violazioni, avrebbero portato a un aumento delle vittime, e alla scoperta di nuovi strumenti di hacking e di altre funzionalità apparentemente utilizzate dal gruppo.
APT10 continuerebbe ad essere attivo. La maggior parte delle recenti intrusioni del collettivo, si pone in evidenza, è iniziata con una e-mail di phishing attentamente elaborata.
Gli esperti hanno raccolto alcune prove che dimostrerebbero che tra il 2016 e il 2017 il gruppo di spionaggio cinese abbia sviluppato e implementato diversi nuovi e esclusivi impianti di backdoor, trojan di accesso remoto e allegati di posta elettronica infetti per prendere il controllo e spostarsi attraverso reti informatiche mirate.
Uno di questi strumenti di hacking sarebbe un impianto denominato REDLEAVES o BUGJUICE che dà all’aggressore la possibilità di trovare file, elencare unità, esfiltrare dati e scattare screenshot.
Quando lo spionaggio è commerciale
Solo nel corso dell’ultimo anno, gli addetti ai lavori hanno ritenuto il gruppo responsabile: di attacchi in Scandinavia, Brasile, Corea del Sud, Thailandia e Giappone per condurre spionaggio economico e per scopi di sicurezza nazionale; di aver colpito diverse università giapponesi, aziende farmaceutiche e realtà produttive; di essere coinvolto in un’operazione destinata a colpire gestori e fornitori di servizi IT nel Regno Unito per accedere a proprietà intellettuale e ad altri dati riservati memorizzati sia dai fornitori dei servizi stessi sia dai loro clienti; di aver violato i sistemi di almeno un grosso service provider IT situato negli Stati Uniti, anche se non è chiaro quanti dati riservati siano stati sottratti.
Inoltre, dato che APT10 sarebbe riuscito a colpire con successo numerose aziende di supply chain – imprese tipicamente integrate con infrastrutture tecnologiche di altre organizzazioni – le azioni del gruppo rappresenterebbero oggi una notevole minaccia per un’ampia gamma di entità diverse in tutto il mondo.
Fonte: CyberAffairs