Secondo il rapporto, un massiccio hack finanziato dallo stato cinese colpisce aziende di tutto il mondo

0
8

Ingrandisci / Chip di computer con bandiera cinese, 3d illustrazione concettuale.

I ricercatori hanno scoperto una massiccia campagna di hacking che utilizza strumenti e tecniche sofisticati per compromettere le reti di aziende in tutto il mondo.

Gli hacker, molto probabilmente provenienti da un noto gruppo finanziato dal governo cinese, sono dotati di strumenti standard e su misura. Uno di questi strumenti sfrutta Zerologon, il nome dato a una vulnerabilità del server Windows, patchata ad agosto, che può dare agli aggressori privilegi di amministratore istantanei sui sistemi vulnerabili.

Symantec utilizza il nome in codice Cicada per il gruppo, che si ritiene sia finanziato dal governo cinese e porta anche i soprannomi di APT10, Stone Panda e Cloud Hopper da altre organizzazioni di ricerca. Il gruppo, che non ha alcuna relazione o affiliazione con alcuna società che utilizzi il nome Cicada, è attivo nell'hacking in stile spionaggio almeno dal 2009 e si rivolge quasi esclusivamente a società legate al Giappone. Sebbene le società prese di mira nella recente campagna si trovino negli Stati Uniti e in altri paesi, tutte hanno collegamenti con aziende giapponesi o giapponesi.

Alla ricerca

"Le organizzazioni collegate al Giappone devono essere in allerta in quanto è chiaro che sono un obiettivo chiave di questo gruppo sofisticato e dotato di risorse, con l'industria automobilistica apparentemente un obiettivo chiave in questa campagna di attacco", hanno scritto i ricercatori della società di sicurezza Symantec in un rapporto. "Tuttavia, con l'ampia gamma di industrie prese di mira da questi attacchi, le organizzazioni giapponesi di tutti i settori devono essere consapevoli di essere a rischio di questo tipo di attività".

Gli attacchi fanno ampio uso del caricamento laterale delle DLL, una tecnica che si verifica quando gli aggressori sostituiscono un file di libreria di collegamento dinamico di Windows legittimo con uno dannoso. Gli aggressori utilizzano il caricamento laterale delle DLL per iniettare malware in processi legittimi in modo da impedire che l'attacco venga rilevato dal software di sicurezza.

La campagna utilizza anche uno strumento in grado di sfruttare Zerologon. Gli exploit funzionano inviando una stringa di zeri in una serie di messaggi che utilizzano il protocollo Netlogon, che i server Windows utilizzano per consentire agli utenti di accedere alle reti. Le persone senza autenticazione possono utilizzare Zerologon per accedere ai gioielli della corona di un'organizzazione, i controller di dominio Active Directory che agiscono come un potente gatekeeper per tutte le macchine connesse a una rete.

Microsoft ha corretto la vulnerabilità critica dell'escalation dei privilegi ad agosto, ma da allora gli aggressori l'hanno utilizzata per compromettere le organizzazioni che devono ancora installare l'aggiornamento. Sia l'FBI che il Department of Homeland Security hanno chiesto che i sistemi vengano aggiornati immediatamente.

Annuncio pubblicitario

Tra le macchine compromesse durante gli attacchi scoperti da Symantec c'erano controller di dominio e file server. I ricercatori dell'azienda hanno anche scoperto prove di file esfiltrati da alcune delle macchine compromesse.

Più regioni e settori

Gli obiettivi provengono da una varietà di settori, tra cui:

  • Automotive, con alcuni produttori e organizzazioni coinvolte nella fornitura di parti anche all'industria automobilistica nel mirino, indicando che questo è un settore di forte interesse per gli aggressori
  • Capi di abbigliamento
  • Conglomerati
  • Elettronica
  • Ingegneria
  • Società commerciali generali
  • Governo
  • Prodotti industriali
  • Fornitori di servizi gestiti
  • Produzione
  • Farmaceutico
  • Servizi professionali

Di seguito è riportata una mappa della posizione fisica dei bersagli:

Symantec

Symantec ha collegato gli attacchi a Cicada sulla base delle impronte digitali trovate nel malware e nel codice di attacco. Le impronte digitali includevano tecniche di offuscamento e codice shell coinvolti nel caricamento laterale della DLL, nonché i seguenti tratti annotati in questo rapporto 2019 della società di sicurezza Cylance:

  • La DLL di terza fase ha un'esportazione denominata "FuckYouAnti"
  • La DLL di terza fase utilizza la tecnica CppHostCLR per iniettare ed eseguire l'assembly del caricatore .NET
  • .NET Loader è offuscato con ConfuserEx v1.0.0
  • Il carico utile finale è QuasarRAT, una backdoor open source utilizzata da Cicada in passato

"La portata delle operazioni indica anche un gruppo di dimensioni e capacità di Cicada", hanno scritto i ricercatori di Symantec. "Il targeting di più grandi organizzazioni in diverse aree geografiche allo stesso tempo richiederebbe molte risorse e competenze che sono generalmente visibili solo in gruppi sostenuti da stati-nazione. Il legame che tutte le vittime hanno con il Giappone punta anche verso Cicada, che in passato è stato conosciuto per prendere di mira le organizzazioni giapponesi ".

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui