Facebook afferma che gli hacker sostenuti dal governo vietnamita sono collegati all'azienda IT

50

Facebook ha affermato di aver collegato un gruppo di hacker avanzato ampiamente ritenuto sponsorizzato dal governo del Vietnam a quella che si presume sia una società IT legittima in quel paese.

Il cosiddetto gruppo di minacce persistenti avanzate è chiamato APT32 e OceanLotus. È operativo almeno dal 2014 e si rivolge ad aziende del settore privato in una vasta gamma di settori insieme a governi stranieri, dissidenti e giornalisti in Asia meridionale e altrove. Utilizza una varietà di tattiche, incluso il phishing, per infettare i bersagli con malware per desktop e dispositivi mobili completo sviluppato da zero. Per conquistare la fiducia degli obiettivi, il gruppo fa di tutto per creare siti web e personaggi online che si mascherano da persone e organizzazioni legittime.

All'inizio di quest'anno, i ricercatori hanno scoperto almeno otto app Android insolitamente sofisticate ospitate su Google Play che erano collegate al gruppo di hacker. Molti di loro erano presenti almeno dal 2018. OceanLotus ha ripetutamente aggirato il processo di verifica delle app di Google, in parte inviando versioni benigne delle app e successivamente aggiornandole per aggiungere backdoor e altre funzionalità dannose.

FireEye ha pubblicato questo rapporto dettagliato su OceanLotus nel 2017 e BlackBerry ha informazioni più recenti qui.

Giovedì, Facebook ha identificato l'azienda informatica vietnamita CyberOne Group come collegata a OceanLotus. Il gruppo elenca un indirizzo nella città di Ho Chi Minh.

L'e-mail inviata all'azienda in cerca di commenti ha restituito un messaggio di errore che diceva che il server di posta non era configurato correttamente. Un rapporto di Reuters di venerdì, tuttavia, ha citato una persona che gestisce la pagina Facebook della società, ora sospesa, dicendo: "NON siamo Ocean Lotus. È un errore."

Nel momento in cui questo post è stato pubblicato, anche il sito web dell'azienda era irraggiungibile. Un archivio di questo venerdì è qui.

Una recente indagine, ha detto Facebook, ha scoperto una varietà di tattiche, tecniche e procedure notevoli, tra cui:

  • Ingegneria sociale: APT32 ha creato personaggi fittizi su Internet spacciandosi per attivisti ed entità aziendali o ha usato esche romantiche quando ha contattato le persone che hanno preso di mira. Questi sforzi hanno spesso comportato la creazione di backstop per queste false persone e organizzazioni false su altri servizi Internet in modo che appaiano più legittime e possano resistere al controllo, anche da parte dei ricercatori della sicurezza. Alcune delle loro pagine sono state progettate per attirare follower particolari per il successivo phishing e targeting malware.
  • App dannose del Play Store: Oltre a utilizzare Pages, APT32 attirava gli obiettivi a scaricare applicazioni Android tramite Google Play Store che disponevano di un'ampia gamma di autorizzazioni per consentire un'ampia sorveglianza dei dispositivi delle persone.
  • Propagazione di malware: APT32 ha compromesso i siti Web e ne ha creato uno proprio per includere javascript dannoso offuscato come parte del loro attacco a pozzo d'acqua per monitorare le informazioni del browser degli obiettivi. Un attacco a vuoto si verifica quando gli hacker infettano i siti Web visitati di frequente da obiettivi previsti per compromettere i loro dispositivi. Come parte di questo, il gruppo ha creato malware personalizzato in grado di rilevare il tipo di sistema operativo utilizzato da una destinazione (Windows o Mac) prima di inviare un payload personalizzato che esegue il codice dannoso. Coerentemente con l'attività passata di questo gruppo, APT32 ha utilizzato anche collegamenti a servizi di condivisione di file in cui ospitavano file dannosi su cui fare clic e scaricare i target. Più di recente, hanno utilizzato collegamenti abbreviati per fornire malware. Infine, il gruppo ha fatto affidamento sugli attacchi di caricamento laterale della libreria di collegamento dinamico (DLL) nelle applicazioni Microsoft Windows. Hanno sviluppato file dannosi nei formati exe, rar, rtf e iso e hanno fornito documenti Word innocui contenenti collegamenti dannosi nel testo.

Annuncio pubblicitario

La denominazione di CyberOne Group non è la prima volta che i ricercatori collegano pubblicamente un gruppo di hacker sostenuto dal governo a organizzazioni del mondo reale. Nel 2013, i ricercatori di Mandiant, che ora fa parte della società di sicurezza FireEye, hanno identificato una torre di uffici di 12 piani a Shanghai, in Cina, come il centro nevralgico di Comment Crew, un gruppo di hacker che era responsabile di hack su oltre 140 organizzazioni sette anni precedenti. L'edificio era il quartier generale dell'Unità 61398 dell'Esercito Popolare di Liberazione.
E nel 2018, FireEye ha affermato che il malware potenzialmente pericoloso per la vita che ha manomesso i meccanismi di sicurezza di un impianto industriale in Medio Oriente è stato sviluppato in un laboratorio di ricerca in Russia.

Facebook ha detto che stava rimuovendo la capacità di OceanLotus di abusare della piattaforma dell'azienda. Facebook ha detto che si aspettava che le tattiche del gruppo si evolvessero, ma che il miglioramento dei sistemi di rilevamento renderà più difficile per il gruppo eludere l'esposizione.

Il rapporto di giovedì non fornisce dettagli su come Facebook abbia collegato OceanLotus a CyberOne Group, rendendo difficile per i ricercatori esterni corroborare la scoperta. Facebook ha detto a Reuters che fornire questi dettagli fornirebbe agli aggressori e ad altri come loro informazioni che consentirebbero loro di eludere il rilevamento in futuro.